Ένα κινεζικό third-party App Store μόλυνε πάνω από 75 εκατομμύρια χρήστες με adware ανασκευάζοντας δημοφιλείς εφαρμογές και δημοσιεύοντας τες εκ νέου μέσω της ιστοσελίδας του.
Το App Store, που ονομάζεται Haima, εξυπηρετεί μόνο την κινεζική αγορά. Η υπηρεσία χρησιμοποιεί μια τεχνική που ονομάζεται app side-loading για να επιτρέψει στους χρήστες να εγκαταστήσουν εφαρμογές έξω από το επίσημο iOS App Store.
Η Apple υποστηρίζει το app side-loading για την επιχειρηματική αγορά, όπου οι ιδιωτικές επιχειρήσεις θέλουν οι υπάλληλοί τους να είναι σε θέση να εγκαταστήσουν custom εφαρμογές που δεν είναι διαθέσιμες στο App Store. Αυτές οι εφαρμογές συνήθως χειρίζονται ευαίσθητες εταιρικές πληροφορίες και η Apple είναι παραπάνω από πρόθυμη να παρέχει τη λειτουργικότητα, λόγω της ανάγκης της να είναι παρούσα στην BYOD αγορά.
Οι Haima φορείς χρησιμοποιούν αυτή τη side-loading διαδικασία για να παραδώσουν τις εφαρμογές τους. Η διαδικασία εγκατάστασης είναι πολύπλοκη και στηρίζεται σε custom πιστοποιητικά επιχειρήσεων που εκδίδει η Apple.
Οι χρήστες συχνά παρασύρονται σε αυτές τις χρονοβόρες διαδικασίες μέσω επιθετικών και δελεαστικών social media εκστρατειών. Από την πλευρά του, το Haima αλλάζει ένα πιστοποιητικό επιχείρησης κάθε τρεις ημέρες. Αλλάζουν πιστοποιητικά σε τακτά χρονικά διαστήματα γιατί η Apple απαγορεύει συχνά τα abused πιστοποιητικά.
Τα πιστοποιητικά είναι συχνά κλεμμένα από νόμιμες επιχειρήσεις και πωλούνται μέσω υπόγειων hacking φόρουμ. Ένα τέτοιο πιστοποιητικό κοστίζει περίπου $ 300, ένα μικρό κόστος σε σχέση με τα χρήματα που βγάζουν οι ιδιοκτήτες καταστημάτων του Haima από τις ad- packaged εφαρμογές τους.
Οι Trend Micro ερευνητές ανέλυσαν τις εφαρμογές που διανέμονται μέσω του καταστήματος. Λένε ότι όλα περιέχουν δυναμικό κώδικα, που εισάγεται στο αρχικό app, και που είναι υπεύθυνος για την εμφάνιση των διαφημίσεων, συνήθως από διαφημιστικά δίκτυα όπως τα InMobi, Mobvista, Adsailer, Chance, DianRu και Baidu.
Για ορισμένες εφαρμογές, όπως τον κλώνο του Pokemon GO, ο κωδικός αυτός εισάγει και ψεύτικα GPS δεδομένα, έτσι ώστε οι χρήστες να μπορούν να το εγκαταστήσουν και να το χρησιμοποιήσουν και σε μη υποστηριζόμενες περιοχές. Αυτό δείχνει ότι η όλη διαδικασία δεν είναι αυτοματοποιημένη και ότι ένας προγραμματιστής χειροκίνητα εισάγει τον κώδικα σε αυτές τις εφαρμογές.
Σύμφωνα με τα στατιστικά στοιχεία που συλλέχθηκαν από την Trend Micro, πάνω από 75 εκατομμύρια iOS χρήστες έχουν εγκαταστήσει εφαρμογές από το Haima Store. Πάνω από 68.870.000 αυτών των χρηστών έχουν εγκαταστήσει μια repackaged έκδοση της Minecraft Pocket Edition εφαρμογής.
Άλλα 6+ εκατομμύρια εγκατέστησαν μια παραποιημένη έκδοση της Terraria εφαρμογής, ενώ πάνω από ένα εκατομμύριο εγκατέστησαν το προηγουμένως αναφερθέν Pokemon GO app.
Το κατάστημα φαίνεται να είναι πολύ επιτυχημένο, παρά τα αμυντικά μέτρα της Apple που προστέθηκαν στο iOS9, η οποία έχει κάνει τη διαδικασία του side-loading εφαρμογών πιο χρονοβόρα και γεμάτη με προειδοποιήσεις ασφαλείας. Αυτό δεν έχει αποθαρρύνει τους χρήστες, που αγνοούν όλες τις προειδοποιήσεις, μολύνοντας τις συσκευές τους και βοηθώντας τους ιδιοκτήτες του Haima να βγάζουν εκατομμύρια.
