Миллионы пользователей iOS, не желая того, установили рекламное программное обеспечение после загрузки популярных приложений из китайского App Store. По данным Trend Micro, магазин приложений Haima перепаковывает такие популярные приложения как Minecraft, Terraria, Instagram, Facebook, QQ и Pokemon GO и агрессивно рекламирует их на YouTube и различных социальных медиа.
У Apple есть строгая проверка, которая не позволит вредоносным приложениям распространяться через официальный AppStore. Тем не менее программа Developer Enterprise Program позволяет распространять приложения, подписанные корпоративным сертификатом.
Haima, используя эту программу, переупаковывала легитимные приложения, добавляя в них модули из различных рекламных сетей, например, таких как Inmobi, Adsailer, Mobvista, Baidu и DianRu. Эти рекламные модули не только показывают рекламу, но также потребляют мобильный трафик пользователей и даже выставляют их личную информацию.
Компания Trend Micro , что некоторые из приложений, размещенных на Haima имеют миллионы загрузок. Речь идет о таких приложениях, как Minecraft PE (68 миллионов загрузок), Terraria (6 миллионов), QQ (45 миллионов) и Pokemon GO (1 миллионов). А в похожем стороннем вьетнамском магазине HiStore эксперты обнаружили такое же приложение, напичканное рекламой Pokemon GO, с количеством скачиваний более чем 10 миллионов.
Подписывая приложение корпоративными сертификатами, полученными через Developer Enterprise Program, киберпреступники добивались того, что эти приложения можно было установить на iOS. Начиная с 9-ой версии iOS Apple усложнила процедуру и отозвала те сертификаты, которыми злоупотребляли злоумышленники.
Тем не менее, пользователи по-прежнему устанавливают эти приложения. Эксперты обнаружили более пяти сертификатов, которые использовали в течение 15 дней.
Для злоумышленников далеко не редкость использовать корпоративные сертификаты от Apple для подписи вредоносных приложений. Такой метод использовали, например, разработчики YiSpecter и WireLurker.
Рекламные приложения, размещенные на Haima также собирают информацию об устройстве: коды MSI и IMEI, статус джейлбрейка, информация о сети, имя устройства и IP-адрес. Эти данные отправляются в командный центр для подбора релевантной рекламы для каждого пользователя.
На популярном онлайн-форуме, посвященном утечкам, появилось сообщение о взломе ИИ-платформы, специально созданной для нужд киберкриминала. К посту прикреплен образец добычи — персональные данные, якобы принадлежащие юзерам WormGPT.
По словам автора атаки, ему суммарно удалось украсть информацию о 19 тыс. подписчиков хакерского ИИ-сервиса, в том числе их имейлы, ID и детали платежей.
Эксперты Cybernews изучили слитый образец февральских записей из базы и обнаружили, что они действительно содержат пользовательские данные и дополнительные сведения:
тип подписки;
валюта, в которой производилась оплата;
суммарная выручка по тому же тарифному плану.
Автор поста об атаке на WormGPT — хорошо известный форумчанин, на счету которого множество легитимных публикаций. Этот факт, по мнению исследователей, придает еще больше веса утверждению о взломе криминального ИИ-сервиса.
Утечка пользовательской базы WormGPT позволяет идентифицировать авторов атак с применением этого ИИ-инструмента. Злоумышленники могут ею воспользоваться, к примеру, для адресного фишинга или шантажа.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
