První trojan pro iOS využívá nedostatky v DRM Applu

Palo Alto Networks objevili trojského koně pro iOS, čistě teoreticky opravdu vůbec prvního. A vypadá to na zajímavé zvířátko.

AceDeceiver je dost dobře možná opravdu prvním trojanem pro iOS. Zajímavý je mimo jiné tím, že na rozdíl od dosavadních malwarů nepotřebuje k šíření zneužívat certifikáty. Pro instalaci na zařízení s iOSem totiž nepotřebuje certifikát žádný. To je dost nepříjemná maličkost – obzvlášť s ohledem na to, že ačkoliv Apple už aplikace s AceDeciverem z App Store odstranil, může se vrátit jinudy.

Malware navíc ohrožuje i zařízení bez jailbreaku. Využívá způsob, jakým na iOS funguje DRM (FairPlay), a princip MITM (Man-in-the-nmiddle) útoku, který zdaleka není novinkou. Podle objevitelů z Palo Alto Networks je tento princip používán už někdy od roku 2013 pro šíření pirátských aplikací.

AceDeceiver má v aktuální podobě dvě omezení – jednak se týká pouze čínských uživatelů a za druhé napadá zařízení pouze prostřednictvím PC. Ani jeden z těchto faktů ovšem nemůže být zdrojem nějakého přehnaného klidu.

Útočníci zneužívají toho, že si uživatelé mohou aplikace do svého zařízení stáhnout i přes iTunes ve stolním počítači. Snaží se uživatele zmanipulovat, aby si do počítače s Windows stáhli jimi vytvořený nakažený program. Ten pak umí díky ukradenému autorizačnímu kódu do jakéhokoli zařízení s iOSem, které uživatel k PC připojí, nainstalovat podvržené aplikace. A ty se pak snaží uživatele připojit k útočníky provozovanému obchodu s aplikacemi, kde se je snaží přesvědčit k zadání Apple ID a hesla.

K autorizačnímu kódu se útočníci dostanou tak, že na App Store koupí nějakou aplikaci a její kód pak odchytí a uloží. Použijí jej potom pro instalaci aplikace, o které si iOS bude myslet, že si ji napadený uživatel legitimně pořídil. Ve výsledku je tak možné do iOSu bez vědomí uživatele dostat jakoukoliv aplikaci, aniž by ji uživatel zařízení koupil.

Do App Store se původně v období mezi červencem 2015 a únorem 2016 dostaly tři různé aplikace s AceDeceiverem. Všechny se vydávaly za aplikace poskytující obrázky na plochu a bez problémů prošly kontrolou Applu minimálně sedmkrát – jak při prvotním nahrání, tak při aktualizacích. Podařilo se jim to změnou chování aplikace podle toho, z jakého místa na světě je spouštěna. AceDeceiver se totiž chová jako malware pouze, pokud je spuštěn v Číně.

Apple tyto aplikace odstranil z App Store až v únoru 2016 poté, co Palo Alto Networks upozornili na jejich existenci. Což ale neznamená, že už se nebudou dále šířit – použitá metoda útoku se dá snadno zopakovat.

Součástí aktivit útočníků je i aplikace pro Windows (Aisi Helper), která slibuje uživatelům pomoc při reinstalaci systému, jailbreaku, zálohování zařízení, správě zařízení a čištění systému. Ve skutečnosti instaluje škodlivé aplikace na zařízení, která jsou k počítači připojena. Ty potom zajistí napojení na vlastní aplikační obchod a od uživatelů zjistí jejich přihlašovací údaje k jejich účtu od Apple. Ty pochopitelně poskytne útočníkovi.

MIF16

Jak Palo Alto Networks upozorňují, jde o nebezpečnou situaci, kdy instalace malware nevyžaduje certifikáty a může se dít bez vědomí uživatele. Apple navíc své bezpečnostní nedostatky stále neopravil. To, že se šíření malwaru omezilo pouze na Čínu, neznamená v zásadě nic – geolokační omezení lze kdykoliv změnit. Nutnost infikovat při útoku počítač uživatele je sice omezující, ale ne až tolik.

Ani to, že onen program pro Windows je aktuálně dostupný jen v čínštině, také není nijak zvlášť uklidňující fakt. Ochota uživatelů nainstalovat si cokoliv, co jim „pomůže“ s jejich iPhonem či iPadem, znamená, že stačí vypustit do světa anglickou verzi a pak už jen čekat. Aisi Helper má navíc podle všeho přes 15 milionů uživatelů a poměrně dlouho neobsahoval žádný škodlivý kód, ten se měl objevit až někdy v roce 2015.

1 názor Vstoupit do diskuse
poslední názor přidán 21. 3. 2016 10:13

Školení: Jak na firemní Facebook prakticky

  •  
    Jak efektivně propojit Facebook s webem.
  • Jak vše měřit a vyhodnocovat.
  • Jak řešit krizové situace.

Detailní informace o školení Facebooku »