Трещины: AceDeceiver устанавливает вредоносное ПО на заводские iPhone

iOS считается одной из наиболее безопасных мобильных операционных систем. Он был разработан с нуля, чтобы быть безопасным, и, следовательно, избежал многих угроз безопасности, которые преследуют Android.

Несколько угроз, которые существуют для платформы

как правило, сосредоточены вокруг взломанных устройств

или те, которые были скомпрометированы иным образом, или используют украденные корпоративные сертификаты.

Но AceDeceiver отличается. Он был обнаружен Palo Alto Networks ранее на этой неделе и способен заразить фабрично настроенные айфоны без ведома пользователя, используя фундаментальные недостатки в системе Apple FairPlay DRM.

От пиратства к вредоносным программам

Способ распределения AceDeceiver основан на так называемом «FairPlay Man-In-the-Middle», который является обычной тактикой, которая используется с 2013 года для установки пиратских приложений на взломанные iPhone и iPad.

Когда человек покупает приложение iPhone с компьютера, оно может быть немедленно отправлено на этот телефон. Но между совершаемой покупкой и доставкой приложения происходит целая связка между устройствами и серверами Apple.

В частности, Apple отправит код авторизации на устройство iOS, которое по существу подтверждает клиентскому устройству, что приложение было законно куплено. Если кто-то захватит один из этих кодов авторизации и сможет имитировать взаимодействие серверов Apple с устройствами iOS, он сможет отправлять приложения на это устройство.

AceDeceiverWorkflow

Эти приложения могут быть приложениями, которые Apple не разрешила появляться в App Store.

или могут быть пиратскими приложениями.

В этом случае приложения, распространяемые этим новым выпуском на «Fairplay Man-In-The-Middle», являются вредоносными приложениями.

Познакомьтесь с Aisi Helper

Для этой атаки FairPlay Man-In-The-Middle

Атака выполняется Aisi Helper, программным приложением Windows, разработанным в Шэньчжэне, Китай.

На первый взгляд, он претендует на звание законного стороннего продукта управления iDevice. У этого есть большая часть атрибутов законных программ. Он позволяет пользователям делать джейлбрейк и резервное копирование устройств в локальной сети, а также переустанавливать iOS, если это необходимо. По сути, это iTunes, хотя и без музыкального плеера, и он нацелен на китайский рынок.

aisihelper

Согласно ITJuzi, которая описывает стартапы на китайском рынке, он был впервые выпущен в 2014 году. Тогда он не содержал никаких вредоносных действий. С тех пор он был значительно модифицирован для использования вышеупомянутой стратегии с целью распространения вредоносного ПО на любые подключенные устройства.

Когда Aisi Helper обнаруживает подключенное устройство, оно автоматически и без согласия пользователя начинает установку трояна AppDeciever. Единственный намек на то, что это происходит, заключается в том, что в списке приложений пользователя появится загадочное и нежелательное приложение.

Вредоносное ПО AceDeceiver

На момент написания этой книги было три таких трояна. До сих пор каждый из них изначально маскировался под обои. Все они были доступны в App Store после прохождения общеизвестно строгих проверок исходного кода Apple, где они проверяются при отправке и при каждом последующем обновлении. Это, по идее, должно было помешать им появиться в App Store.

AceDeceiverWallpaper

Palo Alto Networks считает, что разработчики смогли обойти эти чеки, отправив их за пределы Китая и первоначально сделав их доступными только для небольшого числа рынков, таких как Великобритания и Новая Зеландия.

Этот конкретный вариант вредоносного ПО AceDeciever остается бездействующим, если устройство не имеет IP-адреса в Китайской Народной Республике. Благодаря этому и средствам доставки становится ясно, что он нацелен на китайских пользователей. Хотя это может также повлиять на любого, кто использует китайский VPN, или на кого-то, кто путешествует по Китаю.

Когда вредоносная программа обнаруживает, что устройство находится в Китае, оно превращается из простого приложения для загрузки и смены обоев в приложение, маскирующееся под несколько служб Apple, таких как App Store и Game Center.

AceDeceiver

Целью этого, как и ожидалось, является сбор учетных данных Apple. Это позволит злоумышленнику приобретать приложения и электронные книги, которые они поместили в App Store, и, в свою очередь, получит значительную прибыль. Однако AppDeciever не может просто «получить доступ» к этим учетным данным, поскольку они надежно хранятся в зашифрованном контейнере.

Таким образом, он использует тактику социальной инженерии

вместо. AceDeceiver отобразит всплывающие окна, которые выглядят так, как будто они получены от Apple, с просьбой подтвердить свои учетные данные. Когда пользователь соответствует, они отправляются по сети на удаленный сервер.

Эти приложения с тех пор были удалены из магазина. Несмотря на это, они все еще могут быть установлены злоумышленником, используя атаку FairPlay Man-In-The-Middle.

Стоит ли беспокоиться?

Итак, давайте перейдем к преследованию. У вас есть основания беспокоиться об этом? Ну да и нет.

Прямо сейчас главное проявление этого сосредоточено вокруг Китая. Он нацелен на китайские айфоны, он дремлет за пределами Китая и использует тактику социальной инженерии, тщательно продуманную для успеха против китайских пользователей.

Но, несмотря на это, есть повод для беспокойства. В конце концов, он основан на тактике, которая используется с 2013 года для установки пиратского программного обеспечения. Три года спустя эту дыру еще предстоит закрыть, и она все еще в конечном итоге может использоваться.

Тот факт, что он был успешно опубликован в App Store три раза, также вызывает серьезные вопросы о способности Apple сохранить его без вредоносных программ.

Магазин приложений

Кроме того, как отмечает Palo Alto Labs, было бы тривиально переработать эту вредоносную программу для пользователей в США или Европе.

Сейчас не так много можно сделать, чтобы бороться с этим. Palo Alto Networks рекомендует всем, кто установил Aisi Helper, немедленно удалить его. Они также говорят, что жертвы должны активировать двухфакторную аутентификацию, а также изменить свои пароли.

Они также выпустили две подписи IPS (Intrusion Prevention System) для предприятий, которые используют свои устройства брандмауэра, чтобы блокировать атаку. К сожалению, они не доступны для потребителей.

К вам

Были ли у вас вредоносные программы AceDeceiver? Знаете кого-нибудь, кто был? Расскажите мне об этом в комментариях ниже.

Ссылка на основную публикацию
Adblock
detector