Обнаружен новый iOS-троян, который способен заражать iOS-устройства без джейлбрейка через ПК без необходимости использовать корпоративный сертификат. Вредоносное ПО под названием «AceDeceiver» было обнаружено Palo Alto Networks и в настоящее время поражает пользователей iOS в Китае.

AceDeceiver заражает iOS-устройство, используя уязвимости в FairPlay, системе управления цифровыми правами (DRM) Apple. По данным Palo Alto Networks, он использует технику, называемую «FairPlay Man-in-the-Middle», которая ранее применялась для распространения пиратских iOS-приложений с помощью поддельного программного обеспечения iTunes и поддельных кодов авторизации для установки приложений на iOS-устройства. Теперь та же техника используется для распространения вредоносного ПО AceDeceiver.

Apple позволяет пользователям покупать и загружать iOS-приложения из App Store через клиент iTunes, установленный на их компьютере. Затем они могут использовать компьютеры для установки приложений на свои iOS-устройства. iOS-устройства запрашивают код авторизации для каждого установленного приложения, чтобы подтвердить, что приложение было действительно куплено. При атаке FairPlay MITM злоумышленники покупают приложение в App Store, затем перехватывают и сохраняют код авторизации.

Затем они разрабатывают программное обеспечение для ПК, которое имитирует поведение клиента iTunes и обманывает iOS-устройства, заставляя их полагать, что приложение было куплено жертвой. Таким образом, пользователь может устанавливать приложения, за которые он фактически не платил, а создатель программного обеспечения может устанавливать потенциально вредоносные приложения без ведома пользователя.

С июля 2015 года по февраль 2016 года три iOS-приложения AceDeceiver были загружены в официальный App Store для iOS под видом приложений для обоев, предоставляя злоумышленникам поддельный код авторизации для использования в атаках AceDeceiver.

Windows-приложение для управления iPhone под названием «Aisi Helper», которое утверждало, что предоставляет такие услуги, как резервное копирование и очистка системы, было установлено пользователями в Китае, и оно устанавливало вредоносные iOS-приложения на подключенные устройства. Приложения были разработаны как сторонние App Store с бесплатным контентом, чтобы привлечь пользователей и заставить их ввести свои Apple ID и пароли. Информация об Apple ID затем загружалась на сервер AceDeceiver.

Хотя Apple удалила оригинальные iOS-приложения AceDeceiver из App Store в феврале (те, которые хакеры использовали для получения кодов авторизации), атака остается активной, поскольку злоумышленники по-прежнему имеют коды авторизации, необходимые для установки поддельных приложений на iOS-устройства. AceDeceiver затрагивает только пользователей в Китае, но Palo Alto Networks полагает, что троян AceDeceiver или аналогичное вредоносное ПО может распространиться на другие регионы в будущем. AceDeceiver особенно коварен, поскольку он не был устранен (и может работать на старых версиях iOS даже после исправления), автоматически устанавливает приложения с зараженного компьютера и не требует корпоративного сертификата.

AceDeceiver в его текущем воплощении требует, чтобы пользователи загрузили приложение Aisi Helper для Windows на свои компьютеры, прежде чем вредоносное ПО сможет распространиться на iOS-устройства, поэтому людям, загрузившим это программное обеспечение, следует немедленно удалить его и сменить пароли своих Apple ID. В будущем AceDeceiver можно избежать, не загружая подозрительное программное обеспечение.

Palo Alto Networks имеет полный обзор AceDeceiver, его истории и принципа работы на веб-сайте Palo Alto Networks. Его стоит прочитать всем, кто хочет получить больше информации о вредоносном ПО.