O todo-poderoso adware Shlayer pegou um novo truque, escapando pela primeira vez das defesas do software da Apple.
Por décadas, os usuários de um MAC tiveram que se preocupar menos com malware do que seus colegas usuários de Windows, mas nos últimos anos isso começou a mudar.
Em uma tentativa de reprimir ameaças crescentes como adware e ransomware, em fevereiro a Apple começou a “autenticar” todas as aplicações MacOS, um processo de verificação destinado a eliminar as aplicações ilegítimas ou maliciosas. Mesmo o software distribuído fora da Mac App Store agora precisa ser autenticado, ou os usuários não seriam capazes de executá-los sem soluções alternativas.
Sete meses depois, porém, foi encontrada uma atividade de adware atacando usuários Mac com as mesmas cargas úteis antigas – e o malware foi totalmente autenticado pela Apple.
A campanha está distribuindo o adware “Shlayer”, que por algumas indicações tem afetado até um em cada 10 dispositivos MacOS nos últimos anos. O malware exibe um comportamento padrão de adware, como a inclusão de anúncios nos resultados de busca.
Não está claro como o Shlayer passou pelas varreduras e verificações automatizadas da Apple para ser autenticado, especialmente dado que é praticamente idêntico às versões passadas. Mas é o primeiro exemplo conhecido de malware sendo autenticado para macOS.
Uma tentativa que levou ao acerto
O estudante universitário Peter Dantini descobriu a versão autenticada do Shlayer enquanto navegava para a página inicial da popular ferramenta de programação Mac de código aberto Homebrew.
Dantini acidentalmente digitou algo ligeiramente diferente de brew.sh, a URL correta.
A página em que ele pousou foi redirecionada várias vezes para uma falsa página de atualização do Adobe Flash. Curioso sobre que malware ele poderia encontrar, a Dantini fez o download de propósito.
Para sua surpresa, MacOS apareceu com seu aviso padrão sobre programas baixados da internet, mas não o impediu de executar o programa. Quando Dantini confirmou que ele foi autenticado, ele enviou as informações para o especialista em segurança de longa data Patrick Wardle.
“Eu estava esperando que se alguém abusasse do sistema de autenticação seria algo mais sofisticado ou complexo”, diz Wardle, principal pesquisador de segurança da empresa de gerenciamento Mac Jamf. “Mas de certa forma não me surpreende que tenha sido o adware que o fez primeiro.
“Os desenvolvedores de adware são muito inovadores e em constante transformação, pois podem perder uma tonelada de dinheiro se não conseguirem contornar novas defesas. E a autenticação é um golpe mortal para muitas destas campanhas publicitárias padrão, porque mesmo que os usuários sejam enganados para clicar e tentar executar o software, o macOS irá bloqueá-lo agora”.
O contra-ataque da Apple
A Wardle notificou a Apple sobre o software nocivo em 28 de agosto e a empresa revogou os certificados de autenticação Shlayer no mesmo dia, neutralizando o malware em qualquer lugar onde ele foi instalado e para futuros downloads.
No entanto, em 30 de agosto, a Wardle notou que a campanha de adware ainda estava ativa e distribuindo os mesmos downloads da Shlayer. Eles haviam sido autenticados usando um ID de Desenvolvedor Apple diferente, apenas algumas horas depois que a empresa começou a trabalhar na revogação dos certificados originais.
Em 30 de agosto, a Wardle também notificou a Apple sobre estas novas versões.
“O software malicioso muda constantemente, e o sistema de autenticação da Apple nos ajuda a manter o malware fora do Mac e nos permite responder rapidamente quando ele é descoberto”, disse a empresa em uma declaração.
Leia também: Novos malwares atacam usuários de Mac
“Ao tomar conhecimento deste adware, revogamos a variante identificada, desativamos a conta do desenvolvedor e revogamos os certificados associados”. Agradecemos aos pesquisadores por sua assistência para manter nossos usuários seguros”.
A Apple também faz uma distinção em seus materiais de autenticação entre seu “App Review” mais completo do iOS e uma verificação para aplicações MacOS.
“Autenticação não é a revisão de App”, escreveu a empresa. “O serviço de autenticação da Apple é um sistema automatizado que escaneia seu software em busca de conteúdo malicioso, verifica se há problemas de assinatura de código e retorna os resultados a você rapidamente”.
O perigo com o qual você deve realmente se preocupar
Antes da Apple introduzir a autenticação, os desenvolvedores de malware precisavam pagar 99 dólares por ano por um ID de Desenvolvedor Apple para que pudessem assinar seu software como legítimo.
Qualquer aplicativo não baixado da Mac App Store acionaria um aviso quando os usuários tentassem executá-lo para garantir que os programas baixados da Internet fossem seguros de usar, mas os usuários poderiam facilmente clicar através deles.
A autenticação torna muito mais difícil a implantação de programas mal-intencionados – ou pelo menos é essa a proposta. Wardle diz que em sua experiência ao submeter suas próprias ferramentas de segurança para revisão, a verificação inicial e automatizada da Apple leva apenas alguns minutos para emitir uma aprovação. Ainda assim, os maus atores estão claramente escapando.
“Tenho certeza de que aplicativos maliciosos passariam pelo processo de autenticação, portanto isso não me surpreende”, diz Thomas Reed, diretor da Mac e plataformas móveis da empresa de segurança Malwarebytes.”
“Na verdade, eu estava pensando em desenvolver um aplicativo que exibisse alguns padrões de comportamento e que tentasse obter o sua autenticação. Infelizmente, isto me poupa o trabalho. Esta é a prova de que eu estava esperando de que a autenticação não é eficaz“.
Soluções eficazes?
Reed também observa que ele começou a ver o malware Mac como adware, desenvolvendo para contornar a autenticação. Um método é distribuir software que é completamente não assinado e não aprovado pela Apple e enganar os usuários para instalá-lo, dizendo-lhes que esperem avisos da Apple e depois guiando-os através dos processos de trabalho.
Como em qualquer sistema baseado na confiança, a autenticação pode ajudar a Apple a manter a segurança bem rígida, mas qualquer coisa que passe sorrateiramente pode então se espalhar rapidamente porque tem o logotipo da empresa.
Isto já é um problema tanto na loja iOS App Store da Apple quanto na Play Store do Google para aplicativos vetados do Android. Aplicativos nocivos geralmente entram e depois são baixados por usuários insuspeitos.
O malware ainda teria detectado as instalações autenticadas da Shlayer como prejudiciais, mas qualquer um que não executasse o antivírus ficaria sem sorte.
“Qualquer pessoa vai cometer erros ao detectar software malicioso, porque é difícil de fazer. De um ponto de vista geral de segurança, ainda acho que a autenticação é um bom passo”, diz Wardle. “Mas o usuário comum vai confiar na Apple – eu também confio! Portanto, se algo diz que é autenticado, até mesmo um usuário consciente da segurança tem mais probabilidade de confiar que está tudo bem”.
Traduzido e adaptado por equipe Revolucao.etc.br
Fontes: Wired
