Krzysiek Borek17.03.2016
AceDeceiver – nowy trojan iOS

Nowe odkrycie Palo Alto Networks wskazuje na to, że w Chinach zauważono nowego trojana, który infekuje urządzenia mobilne Apple.

AceDeceiver jest w stanie zainfekować nawet czysty sprzęt (bez Jailbreak) za pośrednictwem komputera osobistego bez konieczności weryfikacji zabezpieczeń DRM przygotowanych przez inżynierów z Cupertino.

Jego działanie bazuje na systemie FairPlay (zarządzanie DRM), w ten sam sposób w przeszłości podobna sytuacja miała miejsce podczas dystrybucji CFW iOS za pomocą iTunes i zmiennych kodów autoryzacyjnych. Dokładnie ta sama metoda odpowiada za rozprzestrzenianie się nowo odkrytego trojana.

Apple allows users purchase and download iOS apps from their App Store through the iTunes client running in their computer. They then can use the computers to install the apps onto their iOS devices. iOS devices will request an authorization code for each app installed to prove the app was actually purchased. In the FairPlay MITM attack, attackers purchase an app from App Store then intercept and save the authorization code.

They then developed PC software that simulates the iTunes client behaviors, and tricks iOS devices to believe the app was purchased by victim. Therefore, the user can install apps they never actually paid for, and the creator of the software can install potentially malicious apps without the user’s knowledge

AceDeceiver-iOS-app

Odkryto, że od lipca ubiegłego roku do lutego bieżącego w App Store (iOS) pojawiły się trzy aplikacje z trojanem. Prawdopodobnie każda z nich służyła do pobierania tapet bezpośrednio na urządzenie i korzystała z fałszywych kodów autoryzacyjnych. Dodatkowo aplikacja AISI Helper na Windows miała w założeniu tworzyć kopie zapasowe urządzenia, a naprawdę służyła do instalowania zainfekowanych aplikacji. Najgorsze, że program do działania wymagał Apple ID, więc sprzęt od razu był narażony na atak ze strony nie tylko AISI Helper, ale również programu na iOS do pobierania aplikacji.

Apple usunęło wszystko aplikacje z App Store, jednak infekcja nadal pozostaje na reszcie urządzeń, dopóki atakujący mają dostęp do kodów autoryzacyjnych. Niedługo pojawi się poprawka, która powinna pomóc „chorym” urządzeniom, ale starsze nawet po zaaplikowaniu poprawki mogą być podatne na AceDeceiver.

Najlepszym rozwiązaniem jest usunięcie AISI Helper z komputera osobistego i przeczytać wszystko o trojanie na stronie Palo Alto Networks.

Źródło: iphonehacks.com
Polub nas na Facebooku, obserwuj na Twitterze, dodaj do Google+ lub RSS

The Sins never die
@krzysiek_borek