Una buena parte del misterio de cómo la App Store analiza las aplicaciones en busca de malware fue descubierto por investigadores del Instituto de tecnología de Georgia, quienes lograron publicar una app que tenía código malicioso fragmentado.
La aplicación llamada Jekyll se disfrazaba como un feed de noticias de Georgia Tech que ensamblaba código malicioso después de ciertas acciones del usuario en la app. Una vez infectado, el dispositivo iOS realizaba actividades sin que el usuario se diera cuenta, tales como publicar tweets, enviar correos y mensajes, robar información personal, tomar fotos, atacar a otras aplicaciones y, más peligroso aún, dirigir a Safari a sitios que contienen más malware.
Mediante una función de monitoreo que se implementó en la aplicación, los investigadores descubrieron que el sistema de aprobación de Apple corrió la aplicación durante sólo 4 segundos, por lo que no fue capaz de descubrir el código malicioso, pues este no se ejecutaba al iniciar la app.
Al ser una investigación con fines de aprendizaje, Jekyll sólo estuvo en la App Store durante unos minutos para que sólo los investigadores pudieran descargarla y así prevenir el daño a otros equipos.
“El mensaje que queremos enviar es que ahora mismo el proceso de revisión de Apple hace más que nada un análisis estático de la aplicación, cosa que decimos insuficiente porque la lógica generada dinámicamente no puede ser vista fácilmente”, dijo Long Lu, investigador de la Universidad de Stony Brook que formó parte del equipo del Instituto de Tecnología de Georgia.
Este estudio es un recuerdo de que ningún sistema de detección de malware en apps es perfecto, pero todo sea por agilizar un proceso que sería mucho más tardado si fuese efectuado por personas.
