Набираем людей к себе в команду! Читай подробности: тут

Новая малварь для iOS использует уязвимость в DRM системе Apple

Новая малварь для iOS использует уязвимость в DRM системе Apple

У специалистов Palo Alto Networks плохие новости: они обнаружили новый троян для iOS —AceDeceiver. Он распространяется через официальный App Store, поражает устройства как с джейлбрейком, так и без, а также использует не поддельные сертификаты, как это бывает обычно, но уязвимость в DRM системе FairPlay.

Сама уязвимость в FairPlay – не новость. Впервые ее заметили еще в 2013 году, назвали FairPlay Man-in-the-Middle, и тогда она использовалась для пиратского скачивания приложений. В 2014 году о проблеме вообще рассказали во всех подробностях на конференции 23rd USENIX Security Symposium.

В чем заключается суть проблемы, ясно уже из ее названия FairPlay Man-in-the-Middle, злоумышленник может внедриться в общение между App Store и iOS устройством (или компьютером) пользователя. Дело в том, что когда пользователь покупает приложение в App Store, его опционально можно сохранить и на компьютере. Когда пользователю захочется установить приложение, через iTunes на компьютере он может запросить и получить код авторизации, необходимый для установки на мобильный девайс. Баг в FairPlay позволяет перехватывать эти коды и впоследствии использовать на любом устройстве.

Для эксплуатации бага злоумышленниками был создан и распространен ???? (Aisi Helper). Этот набор инструментов для Windows предлагал жертвам тулзы для джейлбрейка, создания бекапов и улучшения производительности системы. Также Aisi Helper предоставлял возможность установки приложений как из официального App Store, так и из сторонних магазинов. Весь трюк заключался в том, что пока пользователи считали, что они покупают легитимные приложения из App Store, на самом деле, злоумышленники воровали их коды авторизации и устанавливали на их iOS-устройства вредоносные приложения. Данные приложения побуждали жертв ввести свой Apple ID, пароли и другие личные данные, которые затем переправлялись на командный сервер злоумышленников.

Атакующие внедрили в App Store вредоносные приложения, используя ту же тактику, что недавно продемонстрировала малварь ZergHelper – приложение проявляет подозрительную активность только для пользователей конкретного географического региона. В данном случае – Китая.  Для всех остальных это были безобидные приложения с обоями для iOS.

Интерфейс вредоносного приложения для пользователей за пределами Китая

 

Для распространения малвари злоумышленникам нужны были коды авторизации, в противном случае им помешал бы FairPlay. Для этого, после размещения инфицированных приложений в магазине, злоумышленники скачивали их свое устройство, получали код авторизации, а затем использовали данный код для агрессивного распространения малвари среди пользователей Aisi Helper. Хотя на данный момент все зараженные AceDeceiver приложения были удалены из App Store, атака по-прежнему продолжает работать. Дело в том, что коды авторизации остаются действительными, даже если оригинального приложения уже нет.

Специалисты Palo Alto Networks пишут, что различные приложения, зараженные AceDeceiver стали появляться в App Store начиная с июля 2015 года (и заканчивая февралем 2016 года). Малварь обошла проверки официального магазина как минимум семь раз. Равно как и упомянутый выше ZergHelper, AceDeceiver активизируется только обнаружив пользователя из Китая, хотя операторы малвари могут изменить это обстоятельство в любой момент.

Инструментарий Aisi Helper был выпущен еще в 2014 году, но вредоносную активность начал демонстрировать только летом 2015 года, одновременно с тем, как в App Store стала проникать малварь AceDeceiver. По состоянию на декабрь 2014 года (очевидно, более свежих данных аналитики Palo Alto Networks найти не смогли), аудитория Aisi Helper составляла 15 млн пользователей, 6,6 млн из которых считались постоянно активными.

По данным самих экспертов, в феврале 2016 года, во время проведения расследования, официальный сайт Aisi Helper распространял версии клиента для Windows и iOS, и они обе они были заражены трояном AceDeceiver. Ресурс при этом отображает подозрительное  предупреждение о том, что его операторы не несут никакой ответственности за утечки или потерю данных, модификации ПО или компьютерные вирусы, которые стали результатами хакерских атак.

Подозрительный дисклаймер

 

С подробным анализом малвари и механизма ее работы можно ознакомиться здесь.

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами сайта.

2 2Rabbit iOS / Новости 3 698 17 март 2016

Рекомендуем также

Уязвимость может позволить хакерам контролировать 66% Android-устройств
Уязвимость может позволить хакерам контролировать 66% Android-устройств

Недавно обнаруженная уязвимость может позволить хакерам контролировать 66% Android-устройств....

В Google Play Store снова обнаружили малварь
В Google Play Store снова обнаружили малварь

Несмотря на хваленые системы проверки, малварь все равно проникает в официальный магазин приложений...

Единственная уязвимость ставит под вопрос всю безопасность Blackphone
Единственная уязвимость ставит под вопрос всю безопасность Blackphone

Компания Silent Circle, создавшая защищенный аппарат Blackphone, недавно представила обновление,...

Android-троян получает полный доступ к устройству  через легитимный  Root-Инструмент
Android-троян получает полный доступ к устройству через легитимный Root-Инструмент

Компания Palo Alto Networks предупреждает о новом Android-трояне, которому дали имя...


Комментарии (0)


Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

iOS cydia small iconRepo [cydia.shlyahten.ru]

G iconGAPPS (все версии)

Туринабол Купить Туринабол тестостерон пропионат сустанон энантат болденон станозолол дека Купить