Malware lén lút xâm nhập iOS thông qua các kênh phân phối chính thức của Apple

Những kẻ tạo ra mã độc đã phát hiện ra không chỉ một mà hai phương pháp xâm nhập vào bên trong hệ sinh thái iOS, khu vườn được rào kỹ của Apple. Chúng sử dụng "TestFlight" cũng như "WebClips" để lừa người dùng iPhone và iPad cài đặt các ứng dụng chứa đầy mã độc với khả năng đánh cắp tiền điện tử và mật khẩu hoặc thực hiện các hoạt động độc hại khác mà không bị ngăn chặn.

Apple luôn cảnh báo về mối nguy hiểm của việc cài ứng dụng từ bên ngoài (sideloading) và nhấn mạnh vào quy trình kiểm tra của riêng mình. Từ rất lâu rồi Apple yêu cầu tất cả các ứng dụng phải vượt qua các đánh giá bảo mật mới được đưa vào App Store.

Quá trình kiểm tra hầu như đã thành công trong việc ngăn chặn các ứng dụng độc hại xâm nhập vào thiết bị của Apple. Tất nhiên là vẫn có một số trường hợp ngoại lệ.

Nhưng gần đây, một báo cáo mới được xuất bản bởi công ty bảo mật Sophos cho biết một số ứng dụng độc hại đã tìm ra cách để vượt qua hệ thống kiểm duyệt ứng dụng của Apple.

Một chiến dịch mới mang tên CryptoRom đang tích cực phát tán các ứng dụng tiền điện tử giả mạo đến những người dùng iOS và Android. Vì Android cho phép sideloading nên người dùng có nguy cơ tự nguyện tải xuống và cài đặt phần mềm độc hại cao hơn. Nhưng điều đáng lo ngại khác là quá trình đánh giá bảo mật kỹ lưỡng của Apple cũng đang bị vượt qua.

Phương thức đầu tiên mà nhóm CryptoRom sử dụng đó là lợi dụng TestFlight, một nền tảng cho phép người dùng iOS tải xuống và cài đặt các ứng dụng chưa qua quá trình kiểm duyệt. Người dùng có thể tải ứng dụng TestFlight trên App Store và sau đó tải các ứng dụng chưa qua kiểm duyệt thông qua ứng dụng này.

Bằng cách lợi dụng TestFlight, tội phạm mạng có thể dễ dàng phân phối các ứng dụng chứa đầy mã độc.

Phương pháp thứ hai thậm chí còn đơn giản hơn nên sẽ đáng sợ hơn. CryptoRom sử dụng WebClips, một tính năng mà Apple cung cấp để phát tán mã độc. Về cơ bản WebClips thêm liên kết trang web trực tiếp vào màn hình chính của iPhone. Nó có một biểu tượng. Do vậy, tội phạm mạng có thể ngụy trang các liên kết độc hại như một ứng dụng bình thường từ một dịch vụ hoặc nền tảng hợp pháp.

Hiện tại, những kẻ đứng đằng sau CryptoRom đang phát tán các ứng dụng độc hại của chúng trên các mạng xã hội, trang web hẹn hò và các ứng dụng hẹn hò... Nói cách khác, chúng đang sử dụng các chiến dịch xã hội để lừa đảo người dùng. Vì thế, để đảm bảo an toàn bạn không nên tải xuống ứng dụng từ một nguồn không phải là App Store chính thức.