В недавних событиях, вредоносное приложение успешно прошло через строгие меры безопасности App Store от Apple, вызывая обеспокоенность по поводу надежности процессов проверки компании. После отчета, который привлек внимание к этой проблеме, Apple быстро приняла меры по удалению нарушающего приложения. Однако, теперь на первый план вышли детали того, как такие приложения умудряются обмануть систему проверки.
Вредоносные приложения используют геофенсинг для обмана системы проверки App Store
Согласно 9to5Mac, эти мошеннические приложения используют технику, известную как «геофенсинг». Этот метод позволяет приложению представлять различный интерфейс пользователя (UI) или функциональность в зависимости от обнаруженного географического расположения. Например, пиратское стриминговое приложение может скрывать свою истинную природу, проходя через протоколы безопасности Apple. Чтобы еще больше запутать свои намерения, эти приложения часто используют вводящие в заблуждение названия. Недавний пример - приложение под названием «Collect Cards», которое на самом деле было предназначено для распространения пиратского медиаконтента.
Механизм геофенсинга эффективно мешает автоматизированным системам оценки App Store выявить истинное назначение приложения с первого взгляда. Когда приложение распознает местоположение, считающееся «опасным», например, Соединенные Штаты, оно может отображать безобидный интерфейс карточной игры. Напротив, если оно обнаруживает местоположение в стране с более мягкими антипиратскими законами, как Бразилия, оно раскрывает свою истинную функциональность.
Более того, эти приложения умело задерживают активацию своего API геолокации при запуске, чтобы избежать поднятия тревоги у автоматической системы оценки. По умолчанию они показывают обманчивый UI, позволяя им незаметно пройти через проверку.
Похожие приложения используют одну и ту же кодовую базу
Разработчики этих вредоносных приложений обычно используют общую кодовую базу, часто построенную на фреймворке React Native и SDK Microsoft CodePush. Этот подход особенно выгоден, так как позволяет вносить изменения в приложение без необходимости формальной подачи обновления в App Store, тем самым минимизируя риск обнаружения. Отсутствие обычных проверок безопасности, связанных с каждой загрузкой обновления, еще больше увеличивает их шансы избежать проверки.
Сообщается, что кодовая база для таких типов приложений происходит из одного репозитория на GitHub, теоретически позволяя любому попытаться загрузить свои собственные вредоносные приложения и обойти фильтры безопасности Apple. Хотя пиратское стриминговое приложение было удалено, Apple пока не раскрыла, планирует ли она изменить свою систему проверки приложений в ответ на это. Интересно отметить, что даже невредоносные приложения, такие как Uber, ранее использовали техники геофенсинга для сокрытия систем отслеживания пользователей на своих платформах.