Xzibit мог бы гордиться китайскими разработчиками. Эти парни распространяют через официальный iOS App Store свое приложение开心日常英语 (Happy Daily English), внутрь которого встроен полноценный нелегальный магазин приложений.

Fig1-500x383

Приложение Happy Daily English работает двумя разными путями, всё зависит от географического местонахождения пользователя. Если пользователь находится не в Китае, это обычное приложение для изучения английского языка, притом работающее. Но если пользователь Happy Daily English находится в Китае, приложение превращается в полноценный App Store, который позволяет устанавливать пиратские, взломанные и просто сторонние приложения на смартфон без джейлбрейка. При этом пользователю не придется иметь дело со сторонними ресурсами и производить сложные манипуляции. Суммарно этот «магазин в магазине» распространял более 50 приложений.

ZergHelper
Обратная сторона безобидного языкового приложения

Приложение прошло все официальные проверки, успешно попало в официальный магазин 30 октября 2015 года и собирало положительные отзывы от пользователей за пределами Китая. Никто ничего не подозревал, пока 19 февраля 2016 года нечто странное не заметили специалисты компании Palo Alto Networks.

Эксперты пишут, что приложение тщательно маскировалось, чтобы пройти все проверки официальной платформы. Только обнаружив пользователя из Китая, Happy Daily English предлагало ему принципиально иной интерфейс и возможность скачать дополнительные приложения. Исследователи дали программе кодовое имя ZergHelper и сообщают, что она использует ряд принципиально новых техник. В частности, ZergHelper применяет облеченную версию клиента iTunes для Windows, чтобы пользователь мог авторизоваться, покупать и скачивать пиратские приложения.

Также разработчики используют некоторые функции Xcode IDE для автоматической генерации сертификатов personal development certificates прямо на серверах Apple. Затем эти сертификаты, представленные Apple вместе с релизом Xcode 7.0, в сентябре 2015 года, используются для подписания «левых» приложений из подпольного магазина. Напомню, что в этом и заключалась суть новых сертификатов – пользователи могут сами создавать приложения, подписывать их таким персональным сертификатом и использовать на своем устройстве, не публикуя в App Store. Удобно, к примеру, для проведения тестов. Эксперты Palo Alto Networks пишут, что, скорее всего, авторы ZergHelper провели детальнейший анализ кода Xcode, чтобы воспроизвести его работу для обмана серверов Apple таким образом.

Приложение ZergHelper запрашивало у пользователей повторный ввод Apple ID, чтобы генерировать такие личные сертификаты на имя самого пользователя. В некоторых случаях приложение предлагало пользователям готовые, подставные Apple ID, по всей видимости, ранее похищенные с других смартфонов.

Также сообщается, что ZergHelper написан на языке Lua, что позволяет его создателям постоянно обновлять приложение в обход официальных каналов Apple. Ранее мы уже рассказывали о подобных техниках на примере JSPatch.

В это воскресенье, 21 февраля, приложение было удалено из iOS App Store, когда исследователи Palo Alto Networks забили тревогу. Эксперты отмечают, что никаких вредоносных функций им обнаружить не удалось, поэтому они склонны расценивать ZergHelper как riskware (потенциально опасный софт).

 



Оставить мнение