AceDeciever: зловред, который может заразить ЛЮБОЙ iPhone

Пользователи смартфонов Apple обычно считают, что их iPhone — это нерушимая крепость, особенно по сравнению с Android-устройствами. Действительно, айфоны более безопасны, чем их Android-собратья, во многом благодаря тому, что производитель очень тщательно проверяет каждое новое приложение в App Store. Но они ни в коем случае не абсолютно безопасны. Как вы, вероятно, знаете, нет таких крепостей, которые невозможно было бы взять.

Мы уже не раз писали о довольно опасных зловредах для iOS и даже подготовили список советов для защиты устройств Apple. Киберпреступники продолжают создавать все новые вредоносные приложения для iOS. Недавно специалисты компании Palo Alto Networks обнаружили очередного зловреда, и на данный момент он является одним из самых опасных во всей преступной братии.

Почему? Потому что это приложение может добраться практически до любого айфона, а не только до джейлбрейкнутых устройств, и ему не нужно воровать корпоративный сертификат, чтобы установить себя в телефон. Новая зараза называется AceDeciever.

Благими намерениями…

Все началось с того, что кто-то решил не платить за нужные ему вещи. Так появился способ воровать iOS-приложения, эксплуатирующие уязвимость в DRM-системе Apple FairPlay. Реализуется такой взлом с помощью атаки «человек посередине» (Man-in-the-Middle).

Мы не будем подробно останавливаться на том, что такое Man-in-the-Middle, — всю необходимую информацию вы можете найти в этом посте. Вместо этого мы лучше поговорим о том, что такое FairPlay и как именно эту защиту обходит AceDeciever.

Троянец грузит зловредов на iOS, используя баг в DRM: https://t.co/kWTKkcOpJz pic.twitter.com/IeaMrXaw0P

— Kaspersky (@Kaspersky_ru) March 18, 2016

Apple FairPlay — это система защиты авторских прав (DRM, Digital Rights Management) на музыку, видео и iOS-приложения. Как вы, наверное, знаете, пользователи iPhone могут покупать приложения в установленном на компьютере клиенте iTunes, а потом переносить их к себе в телефон. Конечно, для этого нужно доказать, что вы действительно оплатили то или иное приложение. В качестве такого подтверждения FairPlay использует специальный код, сгенерированный iTunes.

Код этот всегда одинаковый для каждого приложения. И если вам удастся перехватить его для какого-то приложения, вы сможете установить его на любое количество айфонов и айпадов. Именно так работает атака «человек посередине» в случае с FairPlay.

Двуликое приложение

Со временем этот метод позволил пиратам создать полноценный магазин краденых приложений. Он работал на базе Windows-программы Aisi Helper, которую также раньше использовали для джейлбрейка айфонов, бэкапа данных и переустановки iOS. Программу обновили, и она начала устанавливать одноименное приложение в каждый iPhone, подключенный к компьютеру с работающим Aisi Helper. Это приложение предлагало пользователям множество взломанных приложений, которые можно было бесплатно скачать.

А вот и обещанный пост про настройки айфона для параноиков: http://t.co/wHCR9Dw3rz Шапочки из фольги в комплект не входят.

— Kaspersky (@Kaspersky_ru) September 30, 2014

Любопытно, что приложение Aisi Helper попадало на айфоны с помощью все той же атаки FairPlay Man-in-the-Middle. Вначале создателям приложения пришлось загрузить Aisi Helper в App Store, получить положенный код аутентификации и уже потом использовать его для установки своего детища на смартфоны Apple. Сделать это было не так-то просто, ведь компания Apple вряд ли одобрила бы появление магазина пиратских приложений в своем App Store.

Чтобы обмануть систему защиты Apple, Aisi Helper притворилось скучным и неопасным приложением с бесплатными обоями для смартфонов. Чтобы еще больше подстраховать себя, создатели прибегли к хитрому трюку. Приложение было опубликовано только в американском и британском App Store. При загрузке оно запрашивало географические координаты и всем пользователям не из Китая показывало только картинки для рабочего стола. Свое истинное лицо Aisi Helper открывало только владельцам айфонов, находящимся в Китае.

Вредоносное приложение заражает любые #айфоны и крадет у владельцев #Apple ID #Лаборатория Касперского

Tweet

Таким образом, чтобы понять, что происходит, специалисты по безопасности из американского App Store должны были попасть в Китай, а это очень маловероятно. Поэтому долгое время никто в Apple не подозревал, что это приложение может что-то поинтереснее, чем установить новую картинку на рабочий стол пользователя.

На настоящий момент Apple уже удалила все версии Aisi Helper из App Store, но оказалось, что эта мера безопасности не остановила пиратов. Для успешной атаки FairPlay Man-in-the-Middle нужно всего лишь, чтобы приложение побывало в App Store хотя бы раз. А приложения Aisi Helper там очень даже побывали.

Новость для всех, кто сперва джейлит свои айфоны, а потом удивляется, почему у него украли пароли и прочие данные: https://t.co/NbYP2F2weV

— Kaspersky (@Kaspersky_ru) September 2, 2015

Нечестная игра

Так что же плохого в магазине пиратских приложений помимо нарушения авторских прав и убытка для разработчиков? Если кто-то скажет вам: «Я тут кое-что украл и отдаю вам бесплатно», ни за что ему не верьте, ни в коем случае. Вероятность того, что вас обманывают, — 99,9%.

И с приложением Aisi Helper все именно так. До поры до времени оно не вредило пользователям, но в какой-то момент создатели что-то поменяли, и Aisi Helper начало просить логины и пароли от Apple ID пользователей, чтобы предоставить им «больше возможностей». И эти сведения передавались напрямую на командный сервер AceDeciever.

Семь приложений для #iPhone, которые помогут обезопасить и смартфон, и его содержимое: http://t.co/2TOMJnYkCd

— Kaspersky (@Kaspersky_ru) April 21, 2014

Поэтому вполне логично, что этот зловред попал на страницы Kaspersky Daily. Воровство учетных записей Apple — это не шутка. Дыра в системе защиты FairPlay до сих пор не исправлена, и, даже если однажды ее заделают, более старые версии ОС, скорее всего, так и останутся уязвимыми.

И как мне себя защитить?

У нас есть хорошие и плохие новости. Хорошие: на данном этапе AceDeciever распространяется исключительно в Китае. Плохие: никто не гарантирует, что злоумышленники не создадут новое вредоносное ПО, эксплуатирующее все ту же уязвимость. Поэтому мы рекомендуем всем пользователям iOS-устройств сделать следующее:

1. Не пытайтесь джейлбрейкнуть собственный iPhone. Это НЕбезопасно по целому ряду причин, в том числе и потому, что само ПО для джейлбрейка тоже используется киберпреступниками для атак на пользователей.

ВЫШЛО ОБНОВЛЕНИЕ IOS 9.1, ДЕЛАЮЩЕЕ ДЖЕЙЛБРЕЙК НЕВОЗМОЖНЫМ, А КАПСЛОК НИКТО ТАК И НЕ ПОЧИНИЛ: https://t.co/h65qRKMBlP

— Kaspersky (@Kaspersky_ru) October 23, 2015

2. Золотое правило пользователей Google Play пригодится и владельцам iPhone: всегда проверяйте, какие приложения вы устанавливаете. Создатели AceDeceiver доказали, что защитную систему Apple можно обойти. Так как производитель не разрешает выкладывать в своем магазине антивирусное ПО, стоит троянцу попасть к вам в систему — и вы останетесь с ним один на один.

3. К счастью, вы можете защитить другие свои устройства. И это важно: например, в случае с Aisi Helper антивирусное ПО определило бы эту программу как вредоносную разработку AceDeciever.