A API SourMint pode ser usada para atingir usuários iOS

Os ataques à repositórios de arquivos estão gradualmente ganhando ímpeto entre vários atacantes como um meio de alcançar seus objetivos finais por meio do ataque a alvos intermediários.

Recentemente, uma empresa chinesa envolvida no desenvolvimento de software iOS foi exposta visando usuários finais por meio de um ataque à repositórios de arquivos.

O que aconteceu?

Mintegral, a plataforma de publicidade móvel global chinesa, foi encontrada infectada com um kit de desenvolvimento de software malicioso (SDK) conhecido como MintegralAdSDK ou SourMint.

  • Em meados de agosto de 2020, os pesquisadores encontraram o SourMint SDK que se apresentava como um SDK genuíno para desenvolvedores de aplicativos iOS.
  • O SDK malicioso permaneceu oculto na Apple App Store por mais de um ano. Ele foi usado em mais de 1.200 aplicativos iOS, com cerca de 70 aplicativos listados entre os 500 melhores aplicativos gratuitos encontrados na App Store.

Mais detalhes

  • O SDK foi carregado no repositório GitHub da Mintegral, Cocoapods Package Manager para iOS e Gradle / Maven para Android e foi disponibilizado para download por desenvolvedores de aplicativos. Destes, a versão iOS do SDK foi considerada maliciosa, enquanto a versão Android não era maliciosa.
  • Ele registra solicitações baseadas em URL feitas por meio de aplicativos que usam o Advertising SDK e pode sequestrar o fluxo funcional de um clique de anúncio do usuário em qualquer dispositivo iOS.
  • Quando o SDK é usado para o desenvolvimento de aplicativos iOS, os aplicativos implantados são infectados com código malicioso para cometer fraude de atribuição de anúncio.
  • É capaz de registrar a atividade do usuário, roubar informações de identificação pessoal e outras informações confidenciais.

Ataques recentes à repositórios

Ameaças à repositórios de arquivos têm sido usadas como vetor de ataque em vários incidentes.

  • Em meados de agosto, uma campanha maliciosa foi encontrada visando usuários de Mac, distribuindo o pacote XCSSET de malware que estava sendo propagado por meio de projetos de desenvolvedores Xcode.
  • Em maio, o grupo de hackers Berserk Bear foi encontrado visando os sistemas de TI de empresas alemãs por meio de ataques à repositórios.

Conclusão

O SourMint permaneceu escondido na App Store da Apple desde julho de 2019. Devido aos seus sofisticados truques de ofuscação e anti-depuração, ele foi capaz de superar as medidas de segurança da Apple por um longo período. Os desenvolvedores de software precisam estar cientes de tais ameaças à repositórios para evitar a exposição de dados do usuário por meio de seus aplicativos.

Fonte: https://cyware.com/news/sourmint-api-could-be-used-to-target-ios-users-via-supply-chain-attacks-ace15bd7