Otkriven AceDeceiver, malver koji inficira nejailbreakovane iOS uređaje

Mobilni telefoni, 18.03.2016, 01:00 AM

Otkriven AceDeceiver, malver koji inficira nejailbreakovane iOS uređaje

Stručnjaci kompanije Palo Alto Networks otkrili su novu familiju iOS malvera koju su nazvali AceDeceiver. Malver može da inficira jailbreakovane i nejailbreakovane uređaje zahvaljujući propustu u Appleovom DRM mehanizmu zaštite, poznatom po nazivu FairPlay.

Propust je otkriven početkom 2013., kada se koristio za širenje piratskih aplikacija. Ovo je prvi put da se FairPlay Man in the Middle tehnika napada koristi za širenje malvera, u ovom slučaju AceDeceivera. FairPlay MitM napad je prezentovan na Simpozijumu o bezbednosti USENIX, 2014. godine. Bez obzira na to, napadi u kojima se koristi ova tehnika se i danas uspešno izvode.

FairPlay omogućava napad u kome napadač igra ulogu posrednika između App Store i računara ili iOS uređaja korisnika.

Apple dozvoljava korisnicima da kupe i preuzimaju iOS aplikacije iz App Store preko iTunes klijenta na računaru. Oni onda mogu koristiti računare za instalaciju aplikacija na iOS uređajima. IOS uređaji će tražiti autorizacioni kod za svaku aplikaciju zbog potvrde da je aplikacija kupljena. U FairPlay MitM napadu, hakeri kupuju aplikaciju iz App Store koju presreću da bi sačuvali autorizacioni kod. Oni su razvili softver za računare koji simulira ponašanje iTunes klijenta, i čiji je zadatak da prevari iOS uređaje da je žrtva kupila aplikaciju. Korisnik zato može da instalira aplikacije koje nikada nije platio, a autor softvera može da instalira potrencijalno maliciozne aplikacije bez znanja korisnika.

Tri različite iOS aplikacije inficirane trojancem AceDeceiverom postavljene su na App Store u periodu između jula 2015. i februara ove godine. Ove aplikacije su uspele da izbegnu Appleov proces provere koda najmanje sedam puta, uključujući i prvi put kada su postavljene i četiri puta kada je kod ažuriran, što zahteva dodatnu proveru.

Hakeri su koristili metod sličan onom koji je koristio ZergHelper, u čijem slučaju je aplikacija pokazivala različito ponašanje u zavisnosti od geografskog regiona u kome je bila pokrenuta.

Da bi izveli napad hakeri napravili Windows softverski paket nazvan Aisi Helper, koji sadrži i alate za reinstalaciju sistema, jailbreaking uređaja, pravljenje backupova, upravljanje uređajem i čišćenje sistema. Aisi Helper takođe može krišom da instalira maliciozne aplikacije na iOS uređajima koji su povezani sa računarima na kojima je instaliran Aisi Helper. Ove maliciozne iOS aplikacije omogućavaju povezivanje sa third party prodavnicom aplikacija koja je pod kontrolom hakera da bi se instalirale iOS aplikacije. Hakeri podstiču korisnike da unesu svoj Apple ID i lozinku za dodatne funkcije, a ti podaci se zatim šalju komandno-kontrolnom serveru AceDeceivera pošto se najpre šifruju. Preuzimajući aplikacije iz third party prodavnice koja je pod kontrolom hakera, korisnici misle da su kupili autentične aplikacije iz App Store, a ustvari hakeri recikliraju autorizacione kodove i zloupotrebljavaju Aisi Helper da bi maliciozne aplikacije bile instalirane na iOS uređajima.

Pošto bi FairPlay blokirao da ovakve aplikacije budu instalirane na uređaju, hakerima su potrebni autorizacioni kodovi iz App Store za maliciozne aplikacije inficirane AceDeceiverom.

Hakeri koriste tehniku koja im je omogućila da postave tri takve aplikacije u Applovoj prodavnici.

Kada su se njihove aplikacije našle u prodavnici, oni su preuzimali aplikacije, dobijali autorizacione kodove, a zatim koristili ove kodove za širenje malicioznih aplikacija inficiranih AceDeceiverom, i to među korisnicima koji su povezali svoje iOS uređaje sa računarima na kojima je instaliran Aisi Helper.

Proces instalacije je bio sakriven i nastavio da funkcioniše i pošto je Apple otkrio tri AceDeceiverom inficirane aplikacije i uklonio ih iz svoje prodavnice. To je bilo moguće jer je autorizacioni kod bio i dalje validan, omogućavajući tako kriminalcima da zaobiđu FairPlay DRM sistem iOS uređaja, iako je Apple zabranio originalne aplikacije.

AceDeceiver je na jednostavan način prevario Appleov proces provere koda. S obzirom da Apple ima prodavnice aplikacija za različite regione u svetu, programeri AceDeceivera podneli su tri maliciozne aplikacije Appleovim prodavnicama izvan Kine.

S obzirom da trojanac nije dizajniran tako da pokazuje bilo kakvo zlonamerno ponašanje u ovim regionima, Apple nije mogao da ga detektuje u vreme kada se događao proces provere.

Kada je Apple odobrio aplikacije i izdao autorizacioni kod, hakeri su iskoristili ove kodove da primoraju Aisi Helper da krišom instalira ove aplikacije na uređaje korisnika u Kini.

U protekle dve godine 15 miliona korisnika preuzelo Aisi Helper. Tri aplikacije koje su prošle Appleov proces provere, bile su aplikacije za upravljanje pozadinama.

Za sada AceDeceiver cilja samo iOS urešaje u Kini, ali bi hakeri lako mogli da prošire svoje napade na druge regione širom sveta. A prema tvrdnjama stručnajaka iz Palo Alto Networksa, Appleu neće biti lako da reši ovaj problem.

Apple je iz svoje prodavnice uklonio tri aplikacije inficirane AceDeceiverom: aisi.aisiring, aswallpaper.mito i i4.picture.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Ovih dana je lako doći do aplikacija za praćenje za mobilne telefone. Ne morate ih mnogo tražiti, ima ih i u Googleovoj prodavnici Android aplikaci... Dalje

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Istraživači kompanije Symantec pokazali su nekoliko zanimljivih scenarija napada na aplikacije WhatsApp i Telegram za Android. Napad nazvan "Media F... Dalje

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa ure... Dalje

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

“Tekstualne bombe” su već duže vreme problem na iPhone uređajima, ali ovaj put je to ozbiljno, jer se može popraviti samo potpunim br... Dalje

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lukas Stefanko, iz kompanije ESET, otkrio je u Google Play prodavnici lažnu aplikaciju pod nazivom ES File Explorer. Aplikacija nije nudila korisnici... Dalje