La API de SourMint podría usarse para apuntar a usuarios de iOS a través de ataques a la cadena de suministro

Los ataques a la cadena de suministro están cobrando impulso gradualmente entre varios atacantes como un medio para alcanzar sus objetivos finales atacando a objetivos intermedios. 

Se descubrió que Mintegral, la plataforma de publicidad móvil mundial china, estaba infectada con un kit de desarrollo de software malicioso (SDK) conocido como MintegralAdSDK o SourMint.

  • A mediados de agosto de 2020, los investigadores se toparon con el SDK de SourMint que se hacía pasar por un SDK genuino para los desarrolladores de aplicaciones de iOS.
  • El SDK malicioso permaneció oculto en la App Store de Apple durante más de un año. Se usó en más de 1.200 aplicaciones de iOS, con alrededor de 70 aplicaciones incluidas entre las 500 aplicaciones gratuitas principales que se encuentran en la App Store.

Más detalles

  • El SDK se cargó en el repositorio GitHub de Mintegral, el administrador de paquetes Cocoapods para iOS y Gradle / Maven para Android, y los desarrolladores de aplicaciones lo pusieron a disposición para su descarga. De estos, se encontró que la versión iOS del SDK era maliciosa, mientras que la versión de Android no lo era.
  • Registra las solicitudes basadas en URL realizadas a través de aplicaciones que utilizan el SDK de publicidad y puede secuestrar el flujo funcional de un clic en el anuncio de un usuario en cualquier dispositivo iOS.
  • Cuando el SDK se usa para el desarrollo de aplicaciones iOS, las aplicaciones implementadas se infectan con código malicioso para cometer fraude de atribución de anuncios.
  • Es capaz de registrar la actividad del usuario, robar información de identificación personal y otra información confidencial.

Ataques recientes a la cadena de suministro

Las amenazas de la cadena de suministro se han utilizado como vector de ataque en varios incidentes.

  • A mediados de agosto, se encontró una campaña maliciosa dirigida a los usuarios de Mac, distribuyendo el paquete de malware XCSSET que se estaba propagando a través de proyectos de desarrollo de Xcode.
  • En mayo, se descubrió que el grupo de piratería Berserk Bear apuntaba a los sistemas de TI de empresas alemanas a través de ataques a la cadena de suministro.

SourMint ha permanecido oculto en la App Store de Apple desde julio de 2019. Debido a sus sofisticadas ofuscaciones y trucos anti-depuración, pudo superar las medidas de seguridad de Apple durante un período tan largo. Los desarrolladores de software deben conocer estas amenazas de la cadena de suministro para evitar la exposición de los datos del usuario a través de sus aplicaciones.