Analisando lojas de aplicativos de terceiros para APKs modificados por meio da verificação de assinatura

Mesmo após a proibição dos principais aplicativos chineses, como o PUBG, eles estavam disponíveis para download em lojas de aplicativos de terceiros. Da mesma forma, versões modificadas de aplicativos como Spotify e Hotstar, que oferecem acesso a serviços premium sem anúncios intrusivos, gratuitamente, também são populares nas lojas de aplicativos de terceiros. Embora esses aplicativos possam parecer bastante semelhantes às versões originais, eles não são desenvolvidos pelo mesmo fabricante. Os usuários recorrem a lojas de aplicativos de terceiros quando determinados aplicativos não estão disponíveis em lojas oficiais, como a Google Play Store e a Apple App Store, ou se são muito caros ou simplesmente porque contêm muitos anúncios. As lojas de aplicativos de terceiros também são populares entre os usuários devido aos seguintes recursos:

• Forneça acesso às versões mais antigas do aplicativo
• Jogos e aplicativos gratuitos, em oposição aos seus equivalentes caros
• Aplicativos disponíveis em vários idiomas
• Downloads incentivados com vantagens como moeda virtual e outras recompensas
• Acesso às versões beta dos aplicativos
• Período de teste gratuito para aplicativos

APKs modificados de alto risco

Os APKs modificados são basicamente versões modificadas de pacotes Android originais (APKs) que contêm recursos adicionais, moedas, chaves ou passes ilimitados no jogo, etc. Esses APKs podem até conter backdoors que potencialmente comprometem o dispositivo e seus usuários.

• Perigos ocultos nos aplicativos sem anúncios do Spotify

A loja de aplicativos iOS terceirizada TuTuApp oferece versões piratas de jogos/aplicativos, jogos não autorizados, bem como versões sem anúncios de aplicativos como o Spotify. No caso específico do Spotify, desenvolvedores independentes reempacotaram o aplicativo iOS original com um bloqueador de anúncios embutido. Esses aplicativos solicitam permissões independentes que permitem que os agentes de ameaças acessem diferentes partes de um telefone.

O TutuApp aproveita o programa de certificação empresarial da Apple, que permite que outras organizações criem e implantem aplicativos proprietários internos para seus funcionários. Essa também é outra maneira de evitar o processo de triagem da Apple.

• Aplicativos suspeitos de Pokémon Go

Vários aplicativos associados ao Pokémon Go foram reembalados e lançados na natureza, voltados para usuários de Android e iOS. Aqui estão as várias categorias às quais esses aplicativos pertencem:

1. Versões reembaladas do Pokémon Go, infectadas com Trojan (Android). Por exemplo, o aplicativo Pokémon Go injetado com um RAT chamado SandroRAT.
2. Versões reembaladas do Pokémon Go, infectadas com adware (Android).
3. Aplicativos maliciosos que se disfarçam de aplicativo Pokémon Go, para realizar atividades estranhas e inesperadas, como se inscrever como administrador do dispositivo (Android).
4. Versões reembaladas e modificadas do Pokémon Go que ignoram o faturamento no aplicativo, falsificam locais etc. ou desativam a detecção de jailbreak (Android e iOS).

Alguns desses aplicativos são inerentemente maliciosos, feitos para atingir seus usuários. Enquanto outros foram adulterados e oferecem uma vantagem aos usuários.

Análise da CloudSEK de mais de 50 lojas terceirizadas

Para fins de uma pesquisa contínua, a CloudSEK conduziu uma análise em mais de 50 lojas de aplicativos de terceiros. O objetivo principal deste estudo foi verificar a credibilidade dessas lojas e detectar se os aplicativos disponíveis nessas lojas continham algum código modificado que variasse daquele no APK oficial. Para isso, os APKs de aplicativos semelhantes, pertencentes à mesma versão, foram baixados da loja de aplicativos oficial e da loja de aplicativos de terceiros. Em seguida, realizamos a verificação de assinatura em todos os aplicativos de terceiros.

O processo de verificação de assinatura

Por padrão, o sistema operacional Android exige que todos os aplicativos sejam assinados e instalados. Essa assinatura permite identificar o autor de um aplicativo (que pode ser usado para verificar sua legitimidade), bem como estabelecer relações de confiança entre aplicativos que compartilham a mesma assinatura. Embora existam várias versões do APK Signature Scheme (V1 — V4), cada aplicativo atualmente inclui a versão de assinatura V1 (chamada de assinatura JAR) para manter a compatibilidade com versões anteriores.

Esquema de verificação de assinatura V1

1. Cada APK contém um arquivo de assinatura em sua pasta META-INF/.
2. <signer>META-INFORMAÇÃO/. (RSA|DSA|EC) é a assinatura usada para assinar todos os arquivos no APK.
3. As diferentes opções RSA|DSA|EC são para diferentes assinaturas criptográficas. Uma pasta META-INF pode conter apenas uma dessas assinaturas.
4. META-INF/ MANIFEST.MF contém um resumo da assinatura para cada arquivo.

Como funciona o processo de verificação?

1. O processo começa pesquisando o arquivo de assinatura no arquivo ZIP APK dentro da pasta META-INF.
2. O OpenSSL é então usado para extrair a assinatura.
3. Por fim, as assinaturas são comparadas com as do APK oficial e os resultados são retornados.

Resultados da análise

Verificamos cerca de 990 aplicativos de terceiros usando o processo de verificação de assinatura. Algumas das lojas de aplicativos de terceiros que foram analisadas foram allfreeapk, apkpure, apksfull, apktada.

Detectamos um total de 10 aplicativos de terceiros que foram modificados ou para os quais as assinaturas não correspondiam e que continha um código diferente do APK original. Estes são alguns dos aplicativos que continham APKs modificados:

Nome da App Store

Nome do pacote

Nome do aplicativo

1. com.picsart.studio
2. com.spotify.music
3. com.gaana

1. Editor de fotos Picsart
2. Spotify
3. Gaana

Análise do APK modificado

• Editor de fotos Picsart

Nome do pacote

Nome da loja

Versão

Vulnerabilidades encontradas 

1. Fleeceware para Android (PUA)

Aplicativos que induzem os usuários a comprar um teste gratuito de seus serviços e cobram taxas de assinatura exorbitantes quando o período de teste termina. Esses aplicativos fleeceware não funcionam a menos que sejam fornecidos com os detalhes de pagamento dos usuários. Se os usuários caírem nesse truque e fornecerem seus dados, o aplicativo usará esses detalhes para debitar as taxas de assinatura após o término do período de teste, sem o consentimento do usuário.

1. Script de atualização HEUR/HTML

O HEUR/HTML.malware é um malware detectado usando uma rotina de detecção heurística projetada para encontrar scripts de malware comuns em arquivos HTML.

• Spotify

Nome do pacote

Nome da loja

Versão

Vulnerabilidades encontradas

1. Trojan Ewind

O Trojan Ewind é essencialmente um adware que monetiza aplicativos exibindo anúncios indesejados no dispositivo da vítima. O adware também coleta dados do dispositivo e também é capaz de encaminhar mensagens para o atacante. O adware Trojan pode, de fato, até mesmo permitir acesso remoto total ao dispositivo infectado.

1. Riskware/Jiagu! Android

O Riskware constitui aplicativos que não são inerentemente classificados como malware. No entanto, ele pode utilizar os recursos do sistema de maneira inesperada ou irritante e/ou representar um risco de segurança para o dispositivo da vítima.

Como os invasores modificam os aplicativos oficiais?

Além dos exemplos proeminentes que compartilhamos acima, há um grande número de aplicativos modificados à espreita em lojas de terceiros. E é só uma questão de tempo até que a próxima vítima seja vítima de um desses milhares de aplicativos maliciosos. Vamos dar uma olhada em alguns dos métodos pelos quais os invasores conseguem modificar os aplicativos oficiais.

• Adicionar um sinalizador de depuração em um arquivo de configuração

O atacante adiciona manualmente “debug=true” a um arquivo.properties em um aplicativo local. O aplicativo então retorna arquivos de log que são bastante descritivos após seu lançamento. Esses arquivos de log fornecem aos atacantes acesso aos sistemas de back-end. O que, por sua vez, permite que o atacante procure vulnerabilidades no sistema para explorá-las.

• Manipulação de código

O atacante adiciona saltos condicionais ao código, o que permite ignorar o processo de detecção de uma compra bem-sucedida no aplicativo. Isso os ajuda a obter o maior número possível de artefatos e habilidades do jogo, sem precisar pagar por eles. O atacante também pode injetar spyware no aplicativo para roubar a identidade de suas vítimas.

• Acesso não autorizado ao endpoint administrativo

Um invasor pode obter acesso ao endpoint administrativo que os desenvolvedores deixam exposto durante o processo de teste do endpoint. O invasor pode realizar uma análise de string do binário para descobrir a URL codificada para o endpoint REST administrativo. Em seguida, o atacante poderia usar 'cURL' para executar funções administrativas de back-end.

• Requisitos de usabilidade

Os requisitos de usabilidade especificam que as senhas dos aplicativos móveis podem ter apenas 4 dígitos. O código do servidor armazena uma versão com hash da senha. Como a senha é muito curta, um invasor poderá deduzir a senha original usando tabelas de hash rainbow. Se o invasor conseguir comprometer o arquivo de senha no servidor, ele poderá expor a senha do usuário.

• Inspeção de certificados

Um canal seguro é estabelecido quando o aplicativo e o endpoint se conectam por meio de um handshake TLS. Se o aplicativo aceitar o certificado oferecido pelo servidor sem inspecioná-lo, isso poderá interromper o protocolo de autenticação mútua entre o endpoint e o aplicativo, permitindo ataques man-in-the-middle (MitM).

Os aplicativos de terceiros podem, portanto, parecer inocentes, mas na verdade podem ser nefastos e ter graves implicações para seus usuários. No entanto, aplicativos de terceiros que são maliciosos podem ser identificados com processos como verificação de assinatura. Os usuários devem evitar ou ter cuidado antes de instalar aplicativos que não sejam das lojas oficiais de aplicativos.