Otkriven AceDeceiver, malver koji inficira nejailbreakovane iOS uređaje

Mobilni telefoni, 18.03.2016, 01:00 AM

Stručnjaci kompanije Palo Alto Networks otkrili su novu familiju iOS malvera koju su nazvali AceDeceiver. Malver može da inficira jailbreakovane i nejailbreakovane uređaje zahvaljujući propustu u Appleovom DRM mehanizmu zaštite, poznatom po nazivu FairPlay.

Propust je otkriven početkom 2013., kada se koristio za širenje piratskih aplikacija. Ovo je prvi put da se FairPlay Man in the Middle tehnika napada koristi za širenje malvera, u ovom slučaju AceDeceivera. FairPlay MitM napad je prezentovan na Simpozijumu o bezbednosti USENIX, 2014. godine. Bez obzira na to, napadi u kojima se koristi ova tehnika se i danas uspešno izvode.

FairPlay omogućava napad u kome napadač igra ulogu posrednika između App Store i računara ili iOS uređaja korisnika.

Apple dozvoljava korisnicima da kupe i preuzimaju iOS aplikacije iz App Store preko iTunes klijenta na računaru. Oni onda mogu koristiti računare za instalaciju aplikacija na iOS uređajima. IOS uređaji će tražiti autorizacioni kod za svaku aplikaciju zbog potvrde da je aplikacija kupljena. U FairPlay MitM napadu, hakeri kupuju aplikaciju iz App Store koju presreću da bi sačuvali autorizacioni kod. Oni su razvili softver za računare koji simulira ponašanje iTunes klijenta, i čiji je zadatak da prevari iOS uređaje da je žrtva kupila aplikaciju. Korisnik zato može da instalira aplikacije koje nikada nije platio, a autor softvera može da instalira potrencijalno maliciozne aplikacije bez znanja korisnika.

Tri različite iOS aplikacije inficirane trojancem AceDeceiverom postavljene su na App Store u periodu između jula 2015. i februara ove godine. Ove aplikacije su uspele da izbegnu Appleov proces provere koda najmanje sedam puta, uključujući i prvi put kada su postavljene i četiri puta kada je kod ažuriran, što zahteva dodatnu proveru.

Hakeri su koristili metod sličan onom koji je koristio ZergHelper, u čijem slučaju je aplikacija pokazivala različito ponašanje u zavisnosti od geografskog regiona u kome je bila pokrenuta.

Da bi izveli napad hakeri napravili Windows softverski paket nazvan Aisi Helper, koji sadrži i alate za reinstalaciju sistema, jailbreaking uređaja, pravljenje backupova, upravljanje uređajem i čišćenje sistema. Aisi Helper takođe može krišom da instalira maliciozne aplikacije na iOS uređajima koji su povezani sa računarima na kojima je instaliran Aisi Helper. Ove maliciozne iOS aplikacije omogućavaju povezivanje sa third party prodavnicom aplikacija koja je pod kontrolom hakera da bi se instalirale iOS aplikacije. Hakeri podstiču korisnike da unesu svoj Apple ID i lozinku za dodatne funkcije, a ti podaci se zatim šalju komandno-kontrolnom serveru AceDeceivera pošto se najpre šifruju. Preuzimajući aplikacije iz third party prodavnice koja je pod kontrolom hakera, korisnici misle da su kupili autentične aplikacije iz App Store, a ustvari hakeri recikliraju autorizacione kodove i zloupotrebljavaju Aisi Helper da bi maliciozne aplikacije bile instalirane na iOS uređajima.

Pošto bi FairPlay blokirao da ovakve aplikacije budu instalirane na uređaju, hakerima su potrebni autorizacioni kodovi iz App Store za maliciozne aplikacije inficirane AceDeceiverom.

Hakeri koriste tehniku koja im je omogućila da postave tri takve aplikacije u Applovoj prodavnici.

Kada su se njihove aplikacije našle u prodavnici, oni su preuzimali aplikacije, dobijali autorizacione kodove, a zatim koristili ove kodove za širenje malicioznih aplikacija inficiranih AceDeceiverom, i to među korisnicima koji su povezali svoje iOS uređaje sa računarima na kojima je instaliran Aisi Helper.

Proces instalacije je bio sakriven i nastavio da funkcioniše i pošto je Apple otkrio tri AceDeceiverom inficirane aplikacije i uklonio ih iz svoje prodavnice. To je bilo moguće jer je autorizacioni kod bio i dalje validan, omogućavajući tako kriminalcima da zaobiđu FairPlay DRM sistem iOS uređaja, iako je Apple zabranio originalne aplikacije.

AceDeceiver je na jednostavan način prevario Appleov proces provere koda. S obzirom da Apple ima prodavnice aplikacija za različite regione u svetu, programeri AceDeceivera podneli su tri maliciozne aplikacije Appleovim prodavnicama izvan Kine.

S obzirom da trojanac nije dizajniran tako da pokazuje bilo kakvo zlonamerno ponašanje u ovim regionima, Apple nije mogao da ga detektuje u vreme kada se događao proces provere.

Kada je Apple odobrio aplikacije i izdao autorizacioni kod, hakeri su iskoristili ove kodove da primoraju Aisi Helper da krišom instalira ove aplikacije na uređaje korisnika u Kini.

U protekle dve godine 15 miliona korisnika preuzelo Aisi Helper. Tri aplikacije koje su prošle Appleov proces provere, bile su aplikacije za upravljanje pozadinama.

Za sada AceDeceiver cilja samo iOS urešaje u Kini, ali bi hakeri lako mogli da prošire svoje napade na druge regione širom sveta. A prema tvrdnjama stručnajaka iz Palo Alto Networksa, Appleu neće biti lako da reši ovaj problem.

Apple je iz svoje prodavnice uklonio tri aplikacije inficirane AceDeceiverom: aisi.aisiring, aswallpaper.mito i i4.picture.