App norte-coreano com código malicioso pode burlar a segurança do macOS

Pesquisadores do laboratório de segurança Jamf Threat Labs descobriram que agentes maliciosos estão utilizando brechas no Flutter — framework do Google que permite desenvolver aplicativos multiplataforma — para quebrar as barreiras de segurança contra apps maliciosos do macOS.

Como o código principal dos aplicativos desenvolvidos com Flutter é agrupado por uma biblioteca dinâmica e carregado por um mecanismo próprio do framework, acaba sendo mais difícil inspecioná-lo usando mecanismos tradicionais de segurança — o que permite esconder códigos maliciosos com mais facilidade.

Foi exatamente isso que aconteceu com o aplicativo denominado New Updates in Crypto Exchange, teoricamente inofensivo para o computador à primeira vista. Ele conseguiu de alguma forma passar pelos sistemas de segurança automatizados do macOS, uma vez que apresenta um certificado legítimo.

Quando instalado, no entanto, além de não apresentar conteúdo correspondente ao seu nome, ele conta com a capacidade de fazer solicitações de rede para um domínio ligado ao governo da Coreia do Norte, permitindo o download de scripts maliciosos os quais possibilitam controlar o Mac afetado.

O mesmo método foi observado em outros dois aplicativos, um baseado em Python e o outra em Go (Golang) — embora o app desenvolvido em Flutter tenha uma complexidade mais notável. No entanto, não é possível saber se eles foram já utilizados para fazer alguma vítima ou se trata-se apenas de um teste.

De qualquer forma, é interessante ver como métodos de ataque estão ficando cada vez mais complexos, não sendo possível nem mesmo confiar 100% na autenticidade de um desenvolvedor de aplicativo para o macOS.

via AppleInsider