У специалистов Palo Alto Networks плохие новости: они обнаружили новый троян для iOS —AceDeceiver. Он распространяется через официальный App Store, поражает устройства как с джейлбрейком, так и без, а также использует не поддельные сертификаты, как это бывает обычно, но уязвимость в DRM системе FairPlay.
Сама уязвимость в FairPlay – не новость. Впервые ее заметили еще в 2013 году, назвали FairPlay Man-in-the-Middle, и тогда она использовалась для пиратского скачивания приложений. В 2014 году о проблеме вообще рассказали во всех подробностях на конференции 23rd USENIX Security Symposium.
В чем заключается суть проблемы, ясно уже из ее названия FairPlay Man-in-the-Middle, злоумышленник может внедриться в общение между App Store и iOS устройством (или компьютером) пользователя. Дело в том, что когда пользователь покупает приложение в App Store, его опционально можно сохранить и на компьютере. Когда пользователю захочется установить приложение, через iTunes на компьютере он может запросить и получить код авторизации, необходимый для установки на мобильный девайс. Баг в FairPlay позволяет перехватывать эти коды и впоследствии использовать на любом устройстве.
Для эксплуатации бага злоумышленниками был создан и распространен 爱思助手 (Aisi Helper). Этот набор инструментов для Windows предлагал жертвам тулзы для джейлбрейка, создания бекапов и улучшения производительности системы. Также Aisi Helper предоставлял возможность установки приложений как из официального App Store, так и из сторонних магазинов. Весь трюк заключался в том, что пока пользователи считали, что они покупают легитимные приложения из App Store, на самом деле, злоумышленники воровали их коды авторизации и устанавливали на их iOS-устройства вредоносные приложения. Данные приложения побуждали жертв ввести свой Apple ID, пароли и другие личные данные, которые затем переправлялись на командный сервер злоумышленников.
Атакующие внедрили в App Store вредоносные приложения, используя ту же тактику, что недавно продемонстрировала малварь ZergHelper – приложение проявляет подозрительную активность только для пользователей конкретного географического региона. В данном случае – Китая. Для всех остальных это были безобидные приложения с обоями для iOS.
Для распространения малвари злоумышленникам нужны были коды авторизации, в противном случае им помешал бы FairPlay. Для этого, после размещения инфицированных приложений в магазине, злоумышленники скачивали их на свое устройство, получали код авторизации, а затем использовали данный код для агрессивного распространения малвари среди пользователей Aisi Helper. Хотя на данный момент все зараженные AceDeceiver приложения были удалены из App Store, атака по-прежнему продолжает работать. Дело в том, что коды авторизации остаются действительными, даже если оригинального приложения уже нет.
Специалисты Palo Alto Networks пишут, что различные приложения, зараженные AceDeceiver стали появляться в App Store начиная с июля 2015 года (и заканчивая февралем 2016 года). Малварь обошла проверки официального магазина как минимум семь раз. Равно как и упомянутый выше ZergHelper, AceDeceiver активизируется только обнаружив пользователя из Китая, хотя операторы малвари могут изменить это обстоятельство в любой момент.
Инструментарий Aisi Helper был выпущен еще в 2014 году, но вредоносную активность начал демонстрировать только летом 2015 года, одновременно с тем, как в App Store стала проникать малварь AceDeceiver. По состоянию на декабрь 2014 года (очевидно, более свежих данных аналитики Palo Alto Networks найти не смогли), аудитория Aisi Helper составляла 15 млн пользователей, 6,6 млн из которых считались постоянно активными.
По данным самих экспертов, в феврале 2016 года, во время проведения расследования, официальный сайт Aisi Helper распространял версии клиента для Windows и iOS, и они обе они были заражены трояном AceDeceiver. Ресурс при этом отображает подозрительное предупреждение о том, что его операторы не несут никакой ответственности за утечки или потерю данных, модификации ПО или компьютерные вирусы, которые стали результатами хакерских атак.
С подробным анализом малвари и механизма ее работы можно ознакомиться здесь.
Фото: Getty Images
