No nos libramos del malware. Después de que durante el mes de septiembre se detectasen 172 aplicaciones con más de 355 millones de instalaciones, ahora se ha descubierto un nuevo ataque que mostraba anuncios maliciosos en Chrome y Safari, llegando a mostrar hasta 1.000 millones de anuncios en menos de dos meses.

Una vulnerabilidad de Chrome y Safari en iOS ha permitido lanzar más de mil millones de anuncios maliciosos

Los atacantes se aprovecharon de vulnerabilidades de día cero presentes en Chrome y Safari para atacar iOS y macOS, las cuales permitían saltarse las protecciones de seguridad para mostrar anuncios intrusivos y redirigir a los usuarios a páginas web maliciosas. Actualmente, Android es más seguro que iOS, y al ser Chrome open source, el navegador de Google (en su versión para Android) es más seguro que Safari, motivo por el cual ahora las vulnerabilidades de iOS se pagan a menos dinero en el mercado, ya que el navegador de Apple es prácticamente un coladero, y cuando se encuentra una vulnerabilidad en él, normalmente se puede aprovechar para diversos fines, como escalar permisos o robar datos.

El grupo detrás del ataque ha sido bautizado como eGobbler, y se aprovecha de la forma en al que funciona el motor de renderizado del navegador, llamado WebKit. Este motor es usado por Safari, así como por el navegador incluido en los Kindle o en el sistema operativo Tizen de Samsung. Chrome usa Blink, que es un fork de WebKit, pero en iOS tanto Safari como Chrome utilizan WebKit por las restricciones de Apple.

Esta es la segunda vez que el grupo aprovecha una vulnerabilidad de este tipo para este fin. En abril, se aprovecharon de un exploit de Chrome para iOS (CVE-2019-5840) que permitía saltarse el bloqueo de pop-ups para mostrar 500 millones de anuncios maliciosos a usuarios de Estados Unidos y Europa en sólo una semana. A pesar de que la vulnerabilidad fue parcheada en Chrome 75 en junio, ahora han encontrado otra vulnerabilidad a través de JavaScript en WebKit.

España ha recibido casi un cuarto de los anuncios maliciosos de esta campaña

El nuevo exploit, CVE-2019-8771, ha sido parcheado por Apple en iOS 13 y Safari 13.0.1 después de que la compañía lo conociera el 7 de agosto. El fallo se aprovechaba de la función “onkeydown”, una función de JavaScript que se ejecuta cada vez que el usuario pulsa una tecla en el teclado, haciendo que, con sólo pulsar una tecla, una web empiece a bombardearnos con pop-ups. Además de iOS, también podía usarse en macOS, lo que permitía mostrar más pop-ups.

Entre el 1 de agosto y el 23 de septiembre, 1.160 millones de anuncios con malware fueron mostrados en países europeos, siendo España el segundo en el que más se mostraron después de Italia, donde se estima que España recibió unos 266 millones de anuncios.