В конце октября 2015 года специалисты компании SourceDNA обнаружили в официальном Apple App Store более 250 приложений, для создания которых использовался SDK китайской компании Youmi. Оказалось, что инструмент внедрял в безвредные приложения средства слежения за пользователями. Теперь похожий случай зафиксировали и специалисты компании FireEye: SKD mobiSage содержит бекдор.
mobiSage и одноименная сеть мобильной рекламы принадлежат китайской компании adSage, которая занимается рекламным бизнесом, как на родном рынке Поднебесной, так и в США. SDK компании широко используется разработчиками для интеграции в приложения рекламы. Сеть mobiSage охватывает почти 90% китайских мобильных пользователей.
Специалисты компании FireEye выявили, что mobiSage, начиная с версии 5.3.3 и заканчивая версией 6.4.4 содержит опасный бекдор. При этом в новейшей версии (7.0.5) бекдора уже нет. Всего эксперты обнаружили 17 различных версий рекламной библиотеки, ее используют 2846 iOS-приложений. Во время наблюдений, приложения совершили более 900 попыток связаться с ad-сервером, который может быть использован для доставки на зараженные устройства JavaScript кода, для обеспечения контроля над бекдором. Проблема получила имя iBackDoor.
Пока эксперты не зафиксировали признаков вредоносной активности, однако брешь легко может быть использована с дурными намерениями. Баг позволяет: захватывать аудио и делать скриншоты, запускать установленные на устройстве приложения, манипулировать файлами в дата контейнере приложений, отслеживать местоположение устройства, записывать и перезаписывать keychain приложений, передавать зашифрованные данные на удаленный сервер, загружать сторонние приложения, хитростью вынуждая жертву нажать на кнопку установки.
Все это возможно благодаря двум компонентам mobiSage: msageCore (Objective-C компонент, ответственный за фоновые процессы бекдора) и msageJS (JavaScript компонент, который в связке с msageCore может через WebView запустить бекдор в работу).
«Пока мы не заметили, чтобы ad-сервер передавал вредоносные команды приложениям, к примеру, команду на запись аудио или кражу личных данных. Однако приложения периодически связываются с ad-сервером, в ожидании команды и для получения нового JavaScript кода, — предупреждает FireEye. — В любой момент сервер может ответить вредоносным кодом, который будет скачан и немедленно выполнен на всех инфицированных устройствах».
Исследователи проинформировали о проблеме компанию Apple, так как содержащие mobiSage приложения были обнаружены и в официальном App Store. С представителями компании adSage также пытались связаться, однако компания не отвечает на запросы.
Фото: Picserver