Zlonamjerne Flutter aplikacije za zaobilaženje macOS bezbjednosti

Sigurnosni istraživači kompanije Jamf Threat Labs su otkrili zloupotrebu Flutter aplikacija u kampanji za koju se vjeruje da je organizovala napredna trajna prijetnja (eng. Advanced persistent threat – APT) povezna sa Sjevernom Korejom.

macOS Flutter

Zlonamjerne Flutter aplikacije za zaobilaženje macOS bezbjednosti; Source: Bing Image Creator

FLUTTER APLIKACIJE

Flutter aplikacije predstavljaju jedinstveno višeplatformsko rješenje za programere koji imaju za cilj da kreiraju konzistentne aplikacije na macOS, iOS i Android platformama. Ovaj okvir (eng. framework), koji je razvila kompanija Google, pojednostavljuje proces dizajna uz održavanje kompatibilnosti sa različitim operativnim sistemima.

Flutter popularnost proizilazi iz njegove sposobnosti da omogući programerima da dizajniraju nativno kompajlirane aplikacije za mobilne, internet i desktop platforme bez ponovnog pisanja kôda. Korišćenjem jedne baze kôda, Flutter nudi značajnu uštedu vremena i povećanu efikasnost u procesu razvoja. Štaviše, aplikacije napravljene sa Flutter okvirom generalno se mogu pohvaliti glatkim performansama i visokim odzivom zbog svojih mogućnosti brzog renderovanja.

Jedan od najzanimljivijih aspekata razvoja macOS aplikacija pomoću Flutter okvirom je njegova sposobnost da pruži sloj složenosti u smislu nejasnosti kôda. Ovo se postiže pisanjem glavne logike aplikacije pomoću Dart programskog jezika. Dobijeni jedinstveno dizajnirani izgled aplikacije nudi dodatni nivo zamršenosti kada je u pitanju analiza i razumijevanje osnovne strukture kôda.

Nedavno otkriće zlonamjernog softvera ugrađenog u Flutter aplikacije izazvalo je zabrinutost zbog potencijalnih bezbjednosnih prijetnji povezanih sa ovim okvirom, posebno na macOS platformama. Istraživanje je pokazalo da su sjevernokorejski zlonamjerni akteri iskoristili ove ugrađene aplikacije da isporuče zlonamjerni softver korisnicima koji ništa ne sumnjaju. Ovaj incident naglašava važnost razumijevanja jedinstvenih karakteristika i ranjivosti svojstvenih razvoju aplikacija koje koriste Flutter za macOS.

 

Flutter zloupotreba

Zlonamjerni akteri koriste Flutter aplikacije kao sadržaj prve faze, što znači da predstavljaju početni korak u višestepenoj strategiji napada. Zlonamjerni softver se ugrađuje u aplikaciju Flutter ubrizgavanjem štetnog kôda koji se integriše sa normalnim radom aplikacije. Ovaj metod može biti veoma efikasan zbog dva primarna faktora: prvo, aplikacija se može pojaviti u prodavnici, a mnogi korisnici vjeruju prodavnicama aplikacija kao pouzdanim izvorima za siguran softver; drugo, zlonamjerni akteri mogu zamaskirati svoj kôd kako bi izbjegli otkrivanje i analizu.

Sigurnosni istraživači su otkrili konkretan zlonamjerni softver koji se manifestovao ne u jednom već u tri različita oblika, od kojih svaki koristi jedinstvene programske jezike kako bi dodatno zakomplikovao napore u otkrivanju i analizi. Prva varijanta ovog prikrivenog softvera (New Era for Stablecoins and DeFi, CeFi (Protected).app) je napravljena korištenjem programskog jezika Go, svestranog alata otvorenog kôda poznatog po svojoj jednostavnosti i efikasnosti. Druga varijanta je oblikovana kao Python aplikacija (Runner.app – jednostavnija Notepad aplikacija) koja je napravljena sa Py2App, suštinskim uslužnim programom koji se koristi u Mac OS X operativnim sistemima za kreiranje samostalnih aplikacija iz Python skripti.

Međutim, to je treća manifestacija ovog zlonamjernog softvera koja je izazvala interesovanje sigurnosnih istraživača zbog svoje zamršene složenosti i izazova koji se postavljaju tokom procesa preokretanja. Ova verzija je projektovana korištenjem Flutter okruženja. Otkriće ovog zlonamjernog softvera označava promjenu u operacijama zlonamjernog aktera, jer predstavlja prvi put da je ovaj konkretni akter primijećen kako koristi Flutter za ciljanje macOS sistema.

Treba napomenuti da su sve ove aplikacije potpisane pomoću legitimnog Apple ID programera i da su prošle ovjeru (eng. notarization), što znači da su skenirane od strane Apple automatizovanih sistema i smatrane bezbjednim. Međutim, nejasno je da li su ove aplikacije ikada korištene u stvarnim operacijama ili samo za testiranje digitalnom pejzažu kako bi se procijenile tehnike za zaobilaženje bezbjednog softvera. Kompanija Apple je povukla potpise aplikacija koje su sigurnosni istraživači otkrili, tako da neće zaobići Gatekeeper odbranu ako su učitane na ažuriranom macOS sistemu.

Sigurnosni istraživači smatraju da zlonamjerni softver pokazuje jake indikacije da je testiran za dalju zloupotrebu. Ova pretpostavka je zasnovana na reputaciji zlonamjernog aktera za kreiranje veoma ubjedljivih kampanja društvenog inženjeringa od početka do kraja i na neskladu između naziva datoteka i prikazanog sadržaja u aplikacijama koje je napravio Flutter. Neusklađenost između imena datoteka i sadržaja vidljivog korisniku bi potencijalno mogla da bude pokušaj da se zaobiđu Apple server za provjeru i antivirusni proizvođači, što izaziva zabrinutost u vezi sa odobrenim aplikacijama koje sadrže zlonamjerni kôd.

Ugrađivanje zlonamjernog softvera u Flutter aplikacije nije bez presedana; međutim, ovo je prvi put da je zlonamjerni akteri koji imaju veze sa Demokratskom Narodnom Republikom Korejom, takođe poznatom kao Sjeverna Koreja.

 

Uticaj

Upotreba Flutter okvira u ovom slučaju pruža dodatni sloj zamagljivanja zlonamjernog kôda ugrađenog u ove aplikacije. Ovo čini izazovnijim za proizvođače antivirusnih programa i sigurnosne istraživače da efikasno otkriju i analiziraju zlonamjerni softver zbog njegovih veoma ubjedljivih kampanja društvenog inženjeringa i naizgled legitimnog izgleda.

Zlonamjerni akter koji stoji iza ovog napada ima reputaciju da kreira sofisticirane napade, što izaziva zabrinutost u vezi sa njihovim potencijalnim namjerama sa ovim novim pristupom. Otkriveni uzorci pokazuju znake da su u jednom trenutku potpisani, pa čak i da su privremeno prošli Apple proces ovjere. Međutim, ostaje nejasno da li je zlonamjerni softver zaista korišćen protiv nekih ciljeva ili se zlonamjerni akter samo priprema za budući oblik isporuke.

Činjenica da su zlonamjerni akteri pomjerili svoj fokus na macOS uređaje sa drugih platformi sugeriše evoluciju u njihovim taktikama i mogućnostima. Ova promjena bi mogla da ukazuje na rastući trend među zlonamjernim akterima koji ciljaju macOS sisteme, koji su se istorijski smatrali manje ranjivima od sistema zasnovanih na Windows operativnom sistemu. Međutim, kako upotreba macOS operativnih sistema nastavlja da raste, tako raste i njegova privlačnost kao meta za zlonamjerne aktere.

 

ZAKLJUČAK

U slučaju zlonamjernog softvera zasnovanog na Flutter koji cilja macOS uređaje, sumnja se da zlonamjerni akteri koriste različite taktike kako bi ostali neotkriveni i da njihov zlonamjerni softver izgleda drugačije u svakom izdanju. Na primjer, u slučaju Dart programskog jezika koji koristi Flutter, vjeruje se da su zlonamjerni akteri otkrili da Flutter aplikacije stvaraju veliku nejasnoću zbog njihove arhitekture aplikacije kada su jednom kompajlirane. Ovo bi im potencijalno moglo omogućiti da sakriju zlonamjerni kôd unutar dylib biblioteke i izbjegnu otkrivanje od strane Apple servera za ovjeru, kao i dobavljača antivirusnih programa.

Zlonamjerni softver pokazuje jake znake da se vjerovatno testira za veću upotrebu, sa krajnjim ciljem stvaranja efikasnijih napada na macOS uređaje. Zbog toga je neophodno ostati proaktivan u suočavanju sa ovakvim prijetnjama koje se razvijaju kako bi se osigurala bezbjednost i integritet digitalne imovine. Organizacije bi trebalo da razmotre implementaciju višeslojnih bezbjednosnih rješenja, uključujući zaštitu krajnjih tačaka, segmentaciju mreže i programe edukacije korisnika kako bi se smanjio rizik od uspješnih sajber napada.

Ostajući informisani, usvajajući najbolje prakse, sarađujući sa stručnjacima za bezbjednost, održavajući snažan plan reagovanja na incidente i ostajući proaktivni u suočavanju sa prijetnjama koje se razvijaju, pojedinci i organizacije mogu bolje da se zaštite od ovih sofisticiranih napada. Od ključne je važnosti ostati oprezan i prilagodljivi dok zlonamjerni akteri nastavljaju da inoviraju svoje metode, osiguravajući da se digitalna sredstva efikasno zaštite.

 

ZAŠTITA

U ovom slučaju se mogu preporučiti neke opšte preporuke na osnovu najboljih praksi za korisnike i organizacije:

  1. Preuzimati macOS aplikacije samo iz pouzdanih izvora, kao što je zvanična Apple App Store ili verifikovane internet lokacije programera. Ovo smanjuje rizik od preuzimanja zlonamjernog softvera,
  2. Redovno ažurirati macOS sistem i Flutter SDK, jer ažuriranja često uključuju ispravke za bezbjednosne propuste koje bi zlonamjerni akteri mogli da iskoriste,
  3. Koristite renomirani antivirusni softver na macOS računaru da bi se obezbijedio dodatni sloj zaštite od potencijalnih prijetnji, uključujući zlonamjerni softver ugrađen u Flutter aplikacije,
  4. Obrazovati zaposlene o prepoznavanju phishing pokušaja vezanih za preuzimanje ili korištenje macOS Flutter Paziti na elektronske poruke u kojima se traži da se klikne na veze ili preuzmu prilozi koji mogu dovesti do lažnog preuzimanja aplikacija,
  5. Primijeniti jake politike lozinki za korisničke naloge na macOS uređajima, što otežava zlonamjernim akterima da dobiju neovlašteni pristup putem kompromitovanih akreditiva,
  6. Redovno praviti rezervne kopije važnih podataka uskladištenih na Mac računarima u slučaju ugrožavanja bezbjednosti ili ransomware napada koji šifruje datoteke. Ovo osigurava da se podaci mogu oporaviti ako je potrebno,
  7. Implementirati autentifikaciju u više koraka (eng. multi-factor authentication – MFA) za korisničke naloge, dodajući dodatni sloj zaštite od neovlaštenog pristupa čak i ako je lozinka ugrožena,
  8. Važno je biti informisan o najnovijim sajber prijetnjama koje ciljaju na macOS uređaje i Flutter aplikacije prateći pouzdane bezbjednosne resurse kao što su Apple zvanična internet stranica ili ugledni blogovi o sajber bezbjednosti. Ovo će pomoći da se ostane ispred evoluirajućih prijetnji.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.