In de Apple App Store heeft zeer waarschijnlijk een malafide app gestaan gericht tegen Tibetanen, zo claimt securitybedrijf Volexity. De app is inmiddels verwijderd, waardoor analyse niet meer mogelijk is. De groep die voor de app verantwoordelijk wordt gehouden zit ook achter malafide Android-apps bedoeld om Tibetaanse, Oeigoerse en Taiwanese personen en organisaties te bespioneren. Daarnaast gebruikte de groep in 2020 een Safari-exploit om Oeigoerse gebruikers met iOS-malware te infecteren.
In een analyse bespreekt Volexity de malafide apps, die door een groep zijn ontwikkeld met de naam ‘EvilBamboo’. De groep voorziet legitieme Android-applicaties van een backdoor. Vervolgens wordt het malafide, aangepaste APK-bestand via fora, social media en Telegram verspreid. Bij het onderzoek naar de Android-malware ontdekten de onderzoekers een verkeerd geconfigureerde command & control-server bedoeld voor het aansturen van besmette toestellen.
Daar vonden de onderzoekers aanwijzingen dat er ook een malafide iOS-app was ontwikkeld die zich zou hebben voorgedaan als Telegram-variant en via een malafide website werd verspreid. De app zelf werd niet gevonden, maar op de malafide website waar de Telegram-variant werd aangeboden stond wel een ‘Apple’ link vermeld. Dit suggereert volgens de onderzoekers dat de app in ontwikkeling is of mogelijk al wordt ingezet.
De onderzoekers ontdekten ook een malafide Telegram-kanaal aan, dat zich voordoet als een legitiem Telegram-kanaal gericht op Tibetaanse gebruikers. Via gesprekken in deze groep wordt gelinkt naar Android-malware, iets wat al jaren zou plaatsvinden. Er werd ook een bericht gevonden waarbij er wordt gelinkt naar een iOS-app genaamd TibetOne in de Apple App Store.
“De app was op het moment van de analyse al uit de Apple App Store verwijderd”, zegt Callum Roxan van Volexity. Aangezien de app al verwijderd was, is het niet mogelijk om te bevestigen dat het een malafide app betreft. Toch stelt het securitybedrijf dat dit wel het geval is, gebaseerd op het feit dat alle Android-apps die in het Telegram-kanaal zijn vermeld malafide code bevatten. Daarnaast is de app verwijderd, waarschijnlijk door Apple nadat het bedrijf ontdekte dat het een malafide app betrof, aldus Roxan.
De Apple App Store staat erom bekend dat er nauwelijks malafide apps in voorkomen. Twee jaar geleden werd bleek nog dat via een malafide Trezor-app in de App Store 1,6 miljoen dollar aan cryptovaluta was gestolen.
