По оценке Palo Alto Networks, новый зловред, нареченный AceDeceiver, уже заразил порядка 6 млн неразлоченных iOS-устройств, принадлежащих жителям Китая.

Как обнаружили исследователи, этот троянец заражает мобильные устройства через ПК Windows и использует ошибки, допущенные Apple в реализации системы управления цифровыми правами (DRM). На настоящий момент AceDeceiver обнаружен лишь на территории Китая; по признанию Palo Alto, это первый зловред, способный заражать гаджеты Apple, используя несовершенство защитной DRM-системы FairPlay. При этом джейлбрейк мобильного устройства вовсе не обязателен.

«Вначале это был XcodeGhost, затем ZergHelper, а теперь — AceDeceiver, — перечисляет однотипных зловредов Райан Олсон (Ryan Olson), директор по антивирусным исследованиям Palo Alto, комментируя новую находку журналистам Threatpost. — Все они вносят свою лепту в постепенное ослабление защиты магазина приложений Apple». AceDeceiver, по словам эксперта, позволяет получить MitM-доступ к устройству iOS, а также заставить пользователя выдать свой Apple ID атакующим.

От своих предшественников новый iOS-зловред отличается тем, что не пользуется легитимными сертификатами Apple, чтобы проникнуть на неразлоченное устройство. Вместо этого он использует технику FairPlay Man-In-The-Middle, уже два года применяемую для распространения пиратского ПО. Согласно заключению Palo Alto, троянец AceDeceiver — это первый случай, когда подобная модификация используется для установки вредоносных приложений на iOS без ведома пользователя.

Исследование показало, что авторы AceDeceiver готовились к вредоносной кампании долгие месяцы. Во второй половине прошлого года им удалось протащить на App Store три разных варианта ПО AceDeceiver с функцией скринсейвера. Такая публикация была нужна для получения кодов авторизации Apple, запрашиваемых через iTunes. Впоследствии эти коды вместе со специально созданной Windows-программой Aisi Helper злоумышленники использовали для скрытной установки вредоносных приложений на мобильные устройства.

Aisi Helper продается исключительно на территории Китая и позиционируется как инструмент для работы с iOS, позволяющий создавать резервные копии и переустанавливать систему, осуществлять джейлбрейк, управлять устройством и производить очистку. Однако в данном случае наличие такого клиента на ПК Windows также упрощает задачу атакующим, облегчая установку зловредов на iOS-девайс при его подключении к компьютеру. Инсталляцию выполняет AceDeceiver, подменяя хендшейк FairPlay с помощью собственного сервера авторизации. Такая атака называется FairPlay Man-In-The-Middle, она была впервые применена в 2014 году.

Apple была предупреждена об AceDeceiver в прошлом месяце и уже удалила три подложных скринсейвера из магазина приложений. Однако Palo Alto предупреждает, что атака все равно возможна. «Пока у атакующих есть код авторизации, им необязательно иметь доступ к App Store для распространения этих приложений», — поясняют исследователи в своей блог-записи. Олсон со своей стороны подтвердил журналистам, что подобные злоупотребления возможны, поскольку результаты проверки, выполняемой DRM-механизмом Apple, действительны за пределами экосистемы iTunes.

После установки на iOS-устройство AceDeceiver способен функционировать как альтернативный магазин приложений. Он работает под контролем злоумышленников, предлагая широкий выбор разных игр и утилит. Пользователю также предлагают ввести свой Apple ID и пароли для беспрепятственного доступа к бесплатному пиратскому ПО.

Проблему, возникшую из-за AceDeceiver, решить нелегко, полагает Олсон. В случае с вышеупомянутым ZergHelper компания Apple попросту удалила зловреда из своего магазина. Новый троянец отличается тем, что полагается на клиент Windows и использует загодя полученный код авторизации, а также недочеты проекта FairPlay DRM.

На момент публикации данной блог-записи Apple еще не откликнулась на запрос Threatpost о комментарии.

Категории: Аналитика, Вредоносные программы, Главное