Δημιουργοί malware κατάφεραν να περάσουν κακόβουλα apps που εμφανίζονται ως Adobe Flash installers, από το Apple app notarization process, για δεύτερη φορά φέτος. Το app notarization είναι μια προστασία ασφαλείας που κυκλοφόρησε επίσημα η Apple νωρίτερα αυτό το έτος. Πρόκειται για μια διαδικασία που απαιτεί από τους προγραμματιστές εφαρμογών Mac να υποβάλουν τις εφαρμογές τους στην Apple, για μια σειρά αυτοματοποιημένων σαρώσεων ασφαλείας που ελέγχουν για malware ή άλλα κακόβουλα μοτίβα κώδικα.
Οι εφαρμογές που περνούν τις σαρώσεις αξιολογούνται ως “notarized”, πράγμα που σημαίνει ότι προστίθενται σε μια λίστα επιτρεπόμενων εντός της υπηρεσίας ασφαλείας Apple GateKeeper. Μόλις προστεθούν στη λίστα των επιτρεπόμενων του GateKeeper, τα notarized apps μπορούν να ανοιχτούν και να εγκατασταθούν με ένα απλό κλικ, χωρίς προειδοποιήσεις ή αναδυόμενα παράθυρα. Το app notarization είναι υποχρεωτικό για όλες τις εφαρμογές που θέλουν να εκτελούνται στις νεότερες εκδόσεις macOS της Apple, όπως το Catalina και το Big Sur.
Η διαδικασία του notarization έγινε αποδεκτή από τους χρήστες και τους προγραμματιστές, καθώς αφαίρεσε μέρος της τριβής της εγκατάστασης εφαρμογών σε macOS. Ωστόσο, όπως και το Bouncer, το αυτοματοποιημένο σύστημα ασφαλείας που σαρώνει εφαρμογές Android προτού γίνει το upload τους στο Google Play Store, το Apple app notarization process δεν αναμενόταν ποτέ να είναι τέλειο.
Τα πρώτα κακόβουλα apps που κατάφεραν να περάσουν το notarization process και να μπουν στη λίστα των επιτρεπόμενων σε νεότερες εκδόσεις macOS, ανακαλύφθηκαν στα τέλη Αυγούστου. Συνολικά, πέρασαν 40 εφαρμογές που ήταν μολυσμένες με το Shlayer trojan και το adware BundleCore.
Σε μια έκθεση που δημοσιεύθηκε την προηγούμενη εβδομάδα, ο Joshua Long, επικεφαλής αναλυτής ασφαλείας για τον κατασκευαστή software ασφαλείας “Intego”, δήλωσε ότι η εταιρεία του ανακάλυψε έξι νέες εφαρμογές που πέρασαν το notarization process. Ο Long δήλωσε στο ZDNet ότι τα έξι notarized apps παρουσιάστηκαν ως Flash installers. Μόλις εγκατασταθούν, οι εφαρμογές κατεβάζουν και εγκαθιστούν το adware OSX / MacOffers, που είναι γνωστό για την τροποποίηση της μηχανής αναζήτησης στον browser του θύματος.
Δεν είναι σαφές πώς η Apple ανακάλυψε αυτό το γεγονός. Ωστόσο, εικάζεται ότι ίσως έλαβε προειδοποίηση από έναν άλλο ερευνητή που μελετά malware, ή ίσως από έναν χρήστη Mac που ήρθε αντιμέτωπος με την συγκεκριμένη κακόβουλη δραστηριότητα.
Καθώς η Adobe θα αποσύρει το Flash στο τέλος του έτους, ο Long προτρέπει τους χρήστες να σταματήσουν να κατεβάζουν και να εγκαθιστούν Flash installers.
