17 Марта, 2016, 18:00
3496
Американські дослідники з компанії Palo Alto Networks виявили вірусне ПО, яке довгий час заражало iOS-пристрої, експлуатуючи уразливість в iTunes. Троян поширювався тільки на території Китаю, але його архітектура така, що вірус можна використовувати і в інших країнах. Більш того, вірус може заражати як пристрої з джейлбрейком, так і без.
Раніше атаки FairPlay-MITM використовувалися для установки піратських версій легальних додатків. Вперше вразливість була помічена в 2013 році, проте з тих пір Apple так і не закрили цю лазівку остаточно.
Принципу атаки такий: «Apple дозволяє купувати і завантажувати iOS-додатки з App Store через клієнт iTunes, встановлений на комп'ютері. Комп'ютери можна також використовувати для установки додатків на iOS-пристрої. iOS-пристрої запитують код авторизації для кожного встановленого додатка, щоб переконатися, що додаток дійсно було куплено. В ході атаки MITM, атакуючі купують додаток через App Store, здійснюють перехоплення і зберігають код авторизації. Вони створили програму для ПК, яка симулює поведінку iTunes і обманює iOS-пристрій, як ніби додаток було куплено жертвою. Після цього користувач може встановлювати додатки, які він ніколи не купував, а творець програми може встановити потенційний вірус без відома користувача », - пояснюють дослідники.
У період з липня 2015 по лютий 2016 в App Store було завантажено три версії AceDeceiver під виглядом додатків з шпалерами для робочого столу. Мало того, що всі три додатки затвердили, вони ще й пройшли чотири цикли оновлень. Суть в тому, що вірусну складову залишили тільки для додатків, що поширюються на території Китаю, де модератори App Store не працюють. Після того, як Palo Alto Networks виявили вірус, Apple видалив всі програми з App Store. Але їх сутність така, що вони все одно можуть самовільно встановлюватися на девайси, незалежно від свого наявності в магазині. Їм досить було бути одного разу затвердженими.
Для здійснення атаки використовується програма Aisi Helper, яка встановлюється на ПК і надає можливості здійснити повторне і джейлбрейку iOS. Примітно, що довгий час компанія, яка надає Aisi Helper, була абсолютно «білої», але з 2015 року кожна нова версія програми містить троян.
Інтерфейс програми Aisi Helper
В результаті атаки розробники вірусу крали дані користувачів, їх логіни і паролі від Apple ID.
Головна особливість даної ситуації в тому, що вперше вразливість в iTunes була використана для трояна. Крім цього, небезпека вірусу в тому, що навіть після видалення з App Store він може продовжувати діяти. Незважаючи на те, що троян розповсюджувався тільки на території Китаю, немає особливих проблем запустити його в інші країни. Хоч і на даний момент Apple вжила всіх заходів щодо ліквідації загрози.
Продукція компанії Apple все частіше стає мішенню для виробників вірусів. Нещодавно, наприклад, з'явився перший в світі вірус-вимагач під Mac.
Помітили помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.
Помітили помилку?