Pesquisadores da empresa de segurança Snyk descobriram malware oculto em uma plataforma de anúncios usada por mais de 1.200 apps para iPhone e iPad. Chamado SourMint, ele registra todos os acessos a URLs dentro de um app infectado, o que pode levar ao vazamento de informações pessoais, e “rouba” cliques em anúncios, redirecionando o lucro para seus criadores.

O malware está escondido nas ferramentas (SDK) para implementação e monetização de anúncios da empresa chinesa Mintegral há pelo menos um ano. Ele injeta código em funções padrão do iOS que são executadas quando um aplicativo tenta abrir uma URL, incluindo links para a App Store.

Isto dá ao malware acesso a uma grande quantidade de dados, incluindo, potencialmente, informações privadas dos usuários como identificadores únicos associados a uma URL ou sessão, tokens de autenticação, origem do clique dentro do app (o que pode ser usado para identificar padrões de uso), o identificador único do aparelho para anunciantes (IDFA) e o indentificador único de hardware do dispositivo, o IMEI.

publicidade

Além disso o malware pode “roubar” cliques em anúncios exibidos por redes concorrentes, atribuindo eles aos servidores da Mintegral e desviando o valor pago pela exibição ou clique. É comum que apps usem múltiplas redes de anúncios para diversificar a monetização de seus apps.

Segundo a Snyk, o código do malware também contém medidas para ocultar seu comportamento, entre elas bloquear a execução em aparelhos com jailbreak, simuladores ou quando ferramentas de depuração ou proxies estão sendo usados.

A Snyk não lançou uma lista de app infectados, mas afirma que juntos eles já foram baixados mais de 30 milhões de vezes. Infelizmente, para os usuários, não há muito o que fazer, já que não há uma forma fácil para determinar quando um app está usando a SDK da Mintegral para mostrar anúncios.

Em um e-mail à ZDNet, a Apple afirmou que conversou com os pesquisadores da Snyk e que não viu evidências de que a SDK da Mintegral está causando danos aos usuários, ao menos no momento.

Fonte: Snyk / ZDnet