Новая малварь для iOS использует уязвимость в DRM системе Apple
У специалистов Palo Alto Networks плохие новости: они обнаружили новый троян для iOS — AceDeceiver. Он распространяется через официальный App Store, поражает устройства как с джейлбрейком, так и без, а также использует не поддельные сертификаты, как это бывает обычно, но уязвимость в DRM системе FairPlay.
Для эксплуатации бага хакерами был создан и распространен 爱思助手 (Aisi Helper). Этот набор инструментов для Windows предлагал жертвам тулзы для джейлбрейка, создания бекапов и улучшения производительности системы. Также Aisi Helper предоставлял возможность установки приложений как из официального App Store, так и из сторонних магазинов. Весь трюк заключался в том, что пока пользователи считали, что они покупают легитимные приложения из App Store, на самом деле, хакеры воровали их коды авторизации и устанавливали на их iOS-устройства вредоносные приложения. Данные приложения побуждали жертв ввести свой Apple ID, пароли и другие личные данные, которые затем переправлялись на командный сервер злоумышленников.
Атакующие внедрили в App Store вредоносные приложения, используя ту же тактику, что недавно продемонстрировала малварь ZergHelper – приложение проявляет подозрительную активность только для пользователей конкретного географического региона. В данном случае – Китая. Для всех остальных это были безобидные приложения с обоями для iOS.
Для распространения малвари злоумышленникам нужны были коды авторизации, в противном случае им помешал бы FairPlay. Для этого, после размещения инфицированных приложений в магазине, злоумышленники скачивали их на свое устройство, получали код авторизации, а затем использовали данный код для агрессивного распространения малвари среди пользователей Aisi Helper. Хотя на данный момент все зараженные AceDeceiver приложения были удалены из App Store, атака по-прежнему продолжает работать. Дело в том, что коды авторизации остаются действительными, даже если оригинального приложения уже нет.
Специалисты Palo Alto Networks пишут, что различные приложения, зараженные AceDeceiver стали появляться в App Store начиная с июля 2015 года (и заканчивая февралем 2016 года). Малварь обошла проверки официального магазина как минимум семь раз. Равно как и упомянутый выше ZergHelper, AceDeceiver активизируется только обнаружив пользователя из Китая, хотя операторы малвари могут изменить это обстоятельство в любой момент.