A Apple removeu a app Adware Doctor porque obtinha, sem permissão, o histórico de navegação dos utilizadores

A Apple removeu uma das apps anti-malware mais populares na sua store chamada Adware Doctor: Anti Malware & A porque ela estava recolhendo o histórico de navegação dos utilizadores e outros dados confidenciais e enviava-os para um servidor remoto na China.

Adware Doctor, a app mais bem paga na Mac App Store oficial, tem uma boa reputação com milhares de avaliações e uma classificação de 4.8 estrelas.

Ironicamente, uma app desenvolvida para proteger os sistemas Mac estava a expor os dados pessoais dos utilizadores sem a sua permissão.

O comportamento indesejado foi descoberto por um researcher de segurança que acedia à privacidade do Twitter e descobriu que o Adware Doctor recolhia o histórico de navegação dos navegadores Safari, Chrome e Firefox, o histórico de pesquisas na App Store e uma lista de processos em execução.

Top Sold MacOS AppStore application is ROGUE. Adware Doctor is stealing your privacy. PoC: https://t.co/LmveX593q0 #malware #virus #MacOS #Apple #MacBook #MacBookPro #CyberSecurity #privacy #GDPR #Hacking #hackers #cyberpunk #Alert
— Privacy 1st (@privacyis1st) August 20, 2018

O especialista descobriu também que as informações recolhidas foram primeiro armazenadas num ficheiro zip protegido por password e denominado “history.zip” e, em seguida, os ficheiros seriam carregados para um servidor remoto.

A firma de segurança partilhou a descoberta com o ex-hacker white hat da NSA, Patrick Wardle, que depois de conduzir uma revisão pessoal confirmou as descobertas do investigador da Privacy 1st.

Abaixo de um vídeo criado pela Privacy_1st para mostrar suas descobertas.

Patrick Wardle, ao redirecionar a resolução de DNS, conseguiu capturar os dados exfiltrados:

O fiheiro history.zip é exfiltrado para um servidor remoto em dscan.yelabapp.com e hospedado em servidores Amazon AWS, mas a análise das entradas de DNS confirma que ele é administrado por uma entidade na China.

O aplicativo foi desenvolvido por um indivíduo identificado como “Yongming Zhang”. Wardle especulou que isso pode ser uma referência a “Zhang Yongming”, um serial killer chinês.

Thomas Reed, diretor de segurança móvel da Malwarebytes, diz que a sua empresa está a monitorizar a atividade desse developer desde 2015.

“At that time, we discovered an app on the App Store named Adware Medic – a direct rip-off of my own highly-successful app of the same name, which became Malwarebytes for Mac,” Reed wrote.

“We immediately began detecting this, and contacted Apple about removing the app. It was eventually removed, but was replaced soon after by an identical app named Adware Doctor.”

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.