Американские исследователи из компании Palo Alto Networks обнаружили вирусное ПО, которое долгое время заражало iOS-устройства, эксплуатируя уязвимость в iTunes. Троян распространялся только на территории Китая, но его архитектура такова, что вирус можно использовать и в других странах. Более того, вирус может заражать как устройства с джейлбрейком, так и без.

Вирус называется AceDeceiver и его главная особенность в том, что он может устанавливать себя на устройства, не требуя сертификат подлинности. Троян проникает в девайс при помощи уязвимости в системе FairPlay, которая отвечает за соблюдение цифровых прав в iTunes. Проникновение происходит при помощи так называемой атаки Man-In-The-Middle (MITM).

AceDeceiver-1-1

Ранее атаки FairPlay-MITM использовались для установки пиратских версий легальных приложений. Впервые уязвимость была замечена в 2013 году, однако с тех пор Apple так и не закрыли эту лазейку окончательно.

Принципа атаки таков: “Apple позволяет покупать и скачивать iOS-приложения из App Store через клиент iTunes, установленный на компьютере. Компьютеры можно также использовать для установки приложений на iOS-устройства. iOS-устройства запрашивают код авторизации для каждого установленного приложения, чтобы убедиться, что приложение действительно было куплено. В ходе атаки MITM, атакующие покупают приложение через App Store, совершают перехват и сохраняют код авторизации. Они создали программу для ПК, которая симулирует поведение iTunes и обманывает iOS-устройство, как будто приложение было куплено жертвой. После этого пользователь может устанавливать приложения, которые он никогда не покупал, а создатель приложения может установить потенциальный вирус без ведома пользователя”, – объясняют исследователи.

AceDeceiver-12-500x275

В период с июля 2015 по февраль 2016 в App Store было загружено три версии AceDeceiver под видом приложений с обоями для рабочего стола. Мало того, что все три приложения утвердили, они еще и прошли четыре цикла обновлений. Суть в том, что вирусную составляющую оставили только для приложений, распространяющихся на территории Китая, где модераторы App Store не работают. После того, как Palo Alto Networks обнаружили вирус, Apple удалил все приложения из App Store. Но их сущность такова, что они все равно могут самовольно устанавливаться на девайсы, независимо от своего наличия в магазине. Им достаточно было быть однажды утвержденными.

Для совершения атаки используется программа Aisi Helper, которая устанавливается на ПК и предоставляет возможности по переустановке и джейлбрейку iOS. Примечательно, что долгое время компания, которая предоставляет Aisi Helper, была абсолютно “белой”, но с 2015 года каждая новая версия программы содержит троян.

Интерфейс программы Aisi Helper

Интерфейс программы Aisi Helper

В результате атаки разработчики вируса воровали данные пользователей, их логины и пароли от Apple ID.

Главная особенность данной ситуации в том, что впервые уязвимость в iTunes была использована для трояна. Кроме этого, опасность вируса в том, что даже после удаления из App Store он может продолжать действовать. Несмотря на то, что троян распространялся только на территории Китая, нет особых проблем запустить его в другие страны. Хоть и на данный момент Apple приняла все меры по ликвидации угрозы.

Продукция компании Apple все чаще становится мишенью для производителей вирусов. Недавно, например, появился первый в мире вирус-вымогатель под Mac.