Как троянское приложение выглядит на Западе [left] и российским пользователям [right] (X/@uwukko)

Попавшие под санкции банки в России обходят процедуру проверки Apple App Store, чтобы остаться в App Store. Вот как они это делают.

Apple делает все возможное, чтобы оставаться в рамках законов стран, в которых она работает, в том числе развивает свои региональные магазины приложений, чтобы не допускать в них приложений, затронутых санкциями. Это не мешает компаниям, которым фактически запрещен доступ в App Store, пытаться остаться в нем.

Санкции против российских банков в связи с военной деятельностью страны в Украине с 25 февраля вынудили Apple удалить ряд приложений из App Store и закрыть доступ к Apple Pay. Санкции со стороны ЕС и США фактически запретили доступ к счетам крупных российских банков.

Хотя российские банковские приложения запрещены в App Store из-за санкций, поскольку Apple является американской организацией, клиенты банков в стране не могут получить доступ к своим счетам со своих устройств. Чтобы обойти эту проблему, банки используют троянские приложения для получения доступа к App Store.

В ветка твита на X разработчик Wukko раскрывает недавний пример того, как российский банк Сбер сорвал процесс проверки App Store, спрятав свое банковское приложение в другом.

Приложение, выпущенное разработчиком под именем «Праблин Хора», было представлено как поддельное приложение для отслеживания кредитования. Что особенно важно для этой уловки, внешний вид кредитного приложения был показан только в западных странах, но вместо этого российские пользователи видели банковское приложение.



Приложение функционировало, определяя IP-адрес пользователя, а затем показывая версию приложения для этой целевой аудитории. Файл конфигурации запрашивается со стороннего сервера при запуске приложения, причем файл меняется в зависимости от IP-адреса пользователя.

Домен «trbcdn.net», на котором размещен файл, принадлежит CDN Video, которая, в свою очередь, принадлежит Cloud.ru и ранее называлась Sbercloud.com.

Хотя вполне вероятно, что процесс проверки App Store был сбит из-за изменения проверки файла конфигурации, Вукко предполагает, что Apple могла учуять что-то подозрительное в приложении из истории его версий. Первая версия приложения в App Store представляла собой «просто библиотеки» размером около 37 МБ, а вторая версия, представляющая собой имитацию бухгалтерского приложения, выросла до 57,8 МБ.

Третья версия, которая включает в себя само банковское приложение, имеет размер до 232,8 МБ, что на 175 МБ больше, чем в предыдущей версии.

Вукко добавляет, что если вы перетащите путь к ссылке на файл конфигурации, адрес приведет вас на страницу APK для Android-версии Сбера.

Несколько банков троянов

По словам автора твиттера, Сбер — не единственный банк, который это делает. Тинькофф, еще один попавший под санкции банк, также выпустил собственное приложение-троян, используя примерно аналогичный трюк.

Приложение InvestCalendar запросило файл конфигурации у Firebase. Однако Firebase блокирует все запросы из-за пределов России, а это значит, что файл конфигурации для переключения трояна получают только пользователи в России.

В этом приложении также увеличился размер файла: с 5,2 МБ до 159,6 МБ.

«Цель этой темы — показать, что Apple на самом деле не проверяет приложения в магазине приложений и придирчива только тогда, когда это приносит пользу им, а не их пользователям», — пишет Вукко, прежде чем выразить «безумное уважение» банкам за то, что они продолжают предоставлять приложения для клиентов в «текущем политическом климате».

Выражая, что «количество усилий [the banks] вкладывать в эти секретные приложения — это безумие», — Вукко предупреждает об этой методике более отрезвляюще. «Этим можно легко злоупотребить для распространения вредоносного ПО вместо невинных банковских приложений».

С тех пор Apple приняла меры против приложений и удалила их из App Store.

Рекомендации по проверке App Store включают в себя элементы, запрещающие отправку приложений с поддельными функциями, а также правило, согласно которому приложения для финансовой торговли, инвестирования и управления капиталом должны отправляться самим финансовым учреждением. Приложениям также запрещено «произвольно ограничивать круг лиц, которые могут использовать приложение, например, по местоположению или оператору связи».

Российские банки обыграли App Store Review, используя фейковые приложения

©



[yuzo id=820442 ]