Otkriven AceDeceiver, malver koji inficira nejailbreakovane iOS uređaje

Mobilni telefoni, 18.03.2016, 01:00 AM

Otkriven AceDeceiver, malver koji inficira nejailbreakovane iOS uređaje

Stručnjaci kompanije Palo Alto Networks otkrili su novu familiju iOS malvera koju su nazvali AceDeceiver. Malver može da inficira jailbreakovane i nejailbreakovane uređaje zahvaljujući propustu u Appleovom DRM mehanizmu zaštite, poznatom po nazivu FairPlay.

Propust je otkriven početkom 2013., kada se koristio za širenje piratskih aplikacija. Ovo je prvi put da se FairPlay Man in the Middle tehnika napada koristi za širenje malvera, u ovom slučaju AceDeceivera. FairPlay MitM napad je prezentovan na Simpozijumu o bezbednosti USENIX, 2014. godine. Bez obzira na to, napadi u kojima se koristi ova tehnika se i danas uspešno izvode.

FairPlay omogućava napad u kome napadač igra ulogu posrednika između App Store i računara ili iOS uređaja korisnika.

Apple dozvoljava korisnicima da kupe i preuzimaju iOS aplikacije iz App Store preko iTunes klijenta na računaru. Oni onda mogu koristiti računare za instalaciju aplikacija na iOS uređajima. IOS uređaji će tražiti autorizacioni kod za svaku aplikaciju zbog potvrde da je aplikacija kupljena. U FairPlay MitM napadu, hakeri kupuju aplikaciju iz App Store koju presreću da bi sačuvali autorizacioni kod. Oni su razvili softver za računare koji simulira ponašanje iTunes klijenta, i čiji je zadatak da prevari iOS uređaje da je žrtva kupila aplikaciju. Korisnik zato može da instalira aplikacije koje nikada nije platio, a autor softvera može da instalira potrencijalno maliciozne aplikacije bez znanja korisnika.

Tri različite iOS aplikacije inficirane trojancem AceDeceiverom postavljene su na App Store u periodu između jula 2015. i februara ove godine. Ove aplikacije su uspele da izbegnu Appleov proces provere koda najmanje sedam puta, uključujući i prvi put kada su postavljene i četiri puta kada je kod ažuriran, što zahteva dodatnu proveru.

Hakeri su koristili metod sličan onom koji je koristio ZergHelper, u čijem slučaju je aplikacija pokazivala različito ponašanje u zavisnosti od geografskog regiona u kome je bila pokrenuta.

Da bi izveli napad hakeri napravili Windows softverski paket nazvan Aisi Helper, koji sadrži i alate za reinstalaciju sistema, jailbreaking uređaja, pravljenje backupova, upravljanje uređajem i čišćenje sistema. Aisi Helper takođe može krišom da instalira maliciozne aplikacije na iOS uređajima koji su povezani sa računarima na kojima je instaliran Aisi Helper. Ove maliciozne iOS aplikacije omogućavaju povezivanje sa third party prodavnicom aplikacija koja je pod kontrolom hakera da bi se instalirale iOS aplikacije. Hakeri podstiču korisnike da unesu svoj Apple ID i lozinku za dodatne funkcije, a ti podaci se zatim šalju komandno-kontrolnom serveru AceDeceivera pošto se najpre šifruju. Preuzimajući aplikacije iz third party prodavnice koja je pod kontrolom hakera, korisnici misle da su kupili autentične aplikacije iz App Store, a ustvari hakeri recikliraju autorizacione kodove i zloupotrebljavaju Aisi Helper da bi maliciozne aplikacije bile instalirane na iOS uređajima.

Pošto bi FairPlay blokirao da ovakve aplikacije budu instalirane na uređaju, hakerima su potrebni autorizacioni kodovi iz App Store za maliciozne aplikacije inficirane AceDeceiverom.

Hakeri koriste tehniku koja im je omogućila da postave tri takve aplikacije u Applovoj prodavnici.

Kada su se njihove aplikacije našle u prodavnici, oni su preuzimali aplikacije, dobijali autorizacione kodove, a zatim koristili ove kodove za širenje malicioznih aplikacija inficiranih AceDeceiverom, i to među korisnicima koji su povezali svoje iOS uređaje sa računarima na kojima je instaliran Aisi Helper.

Proces instalacije je bio sakriven i nastavio da funkcioniše i pošto je Apple otkrio tri AceDeceiverom inficirane aplikacije i uklonio ih iz svoje prodavnice. To je bilo moguće jer je autorizacioni kod bio i dalje validan, omogućavajući tako kriminalcima da zaobiđu FairPlay DRM sistem iOS uređaja, iako je Apple zabranio originalne aplikacije.

AceDeceiver je na jednostavan način prevario Appleov proces provere koda. S obzirom da Apple ima prodavnice aplikacija za različite regione u svetu, programeri AceDeceivera podneli su tri maliciozne aplikacije Appleovim prodavnicama izvan Kine.

S obzirom da trojanac nije dizajniran tako da pokazuje bilo kakvo zlonamerno ponašanje u ovim regionima, Apple nije mogao da ga detektuje u vreme kada se događao proces provere.

Kada je Apple odobrio aplikacije i izdao autorizacioni kod, hakeri su iskoristili ove kodove da primoraju Aisi Helper da krišom instalira ove aplikacije na uređaje korisnika u Kini.

U protekle dve godine 15 miliona korisnika preuzelo Aisi Helper. Tri aplikacije koje su prošle Appleov proces provere, bile su aplikacije za upravljanje pozadinama.

Za sada AceDeceiver cilja samo iOS urešaje u Kini, ali bi hakeri lako mogli da prošire svoje napade na druge regione širom sveta. A prema tvrdnjama stručnajaka iz Palo Alto Networksa, Appleu neće biti lako da reši ovaj problem.

Apple je iz svoje prodavnice uklonio tri aplikacije inficirane AceDeceiverom: aisi.aisiring, aswallpaper.mito i i4.picture.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Apple zabranio aplikaciju koja pomaže korisnicima da uhode ljude koje prate na Instagramu

Apple zabranio aplikaciju koja pomaže korisnicima da uhode ljude koje prate na Instagramu

Apple je zabranio aplikaciju Like Patrol koja omogućava ljudima da prate aktivnosti drugih na Instagramu. Like Patrol je aplikacija koja je naplać... Dalje

Alijansa za odbranu aplikacija proveravaće aplikacije pre nego što budu objavljene u Play prodavnici

Alijansa za odbranu aplikacija proveravaće aplikacije pre nego što budu objavljene u Play prodavnici

Google je najavio da će udružiti snage sa kompanijama ESET, Lookout i Zimperium da bi poboljšali otkrivanje zlonamernih Android aplikacija pre neg... Dalje

Facebook tuži izraelskog proizvođača špijunskog softvera zbog hakovanja korisnika WhatsAppa

Facebook tuži izraelskog proizvođača špijunskog softvera zbog hakovanja korisnika WhatsAppa

Facebook je u utorak podneo tužbu protiv izraelske firme za nadzor mobilnih uređaja NSO Grupe, tvrdeći da je ova firma aktivno bila uključena u h... Dalje

Trojanac koji je inficirao 45000 Android uređaja ponovo se instalira nakon uklanjanja

Trojanac koji je inficirao 45000 Android uređaja ponovo se instalira nakon uklanjanja

U proteklih nekoliko meseci stotine korisnika Androida žalile su se na internetu na misteriozni malver koji se skriva na zaraženim uređajima i koji... Dalje

Google zbog malvera uklonio aplikaciju za ulepšavanje fotografija

Google zbog malvera uklonio aplikaciju za ulepšavanje fotografija

Google je iz svoje Play prodavnice aplikacija za Android uređaje uklonio aplikaciju pod nazivom Yellow Camera i druge slične aplikacije nakon što j... Dalje