Исследователи рассказали о трояне для iOS, устанавливающемся из-за уязвимости iTunes

Троян под названием AceDeceiver в течение нескольких месяц заражал iOS-устройства, даже не имеющие джейлбрейка, из-за особенностей работы механизма FairPlay — цифровой подписи приложений, устанавливаемых на iOS. Об этом сообщается в блоге компании Palo Alto Networks, специализирующейся на кибербезопасности.

По данным Palo Alto Networks, в период с июля 2015 года по февраль 2016 года в App Store появились три трояносодержащих приложения: каждое из них маскировалось под коллекцию обоев для рабочего стола. Они обходили процесс проверки App Store, так как вредоносные действия проявлялись только в том случае, если пользователь находился в Китае: там модераторов Apple нет.

После того, как исследователи сообщили о существовании приложений в Apple, компания удалила их из своего магазина. Однако угроза сохраняется: особенность атаки FairPlay MITM такова, что для её проведения достаточно и того, что приложение однажды уже было опубликовано в App Store.

Дальнейшее распространение трояна происходит через Windows-клиент Aisi Helper, использующийся для джейлбрейка и восстановления iOS-устройств. Aisi Helper умеет эмулировать работу iTunes, в том числе FairPlay, поэтому способно загружать даже на невзломанные смартфоны и планшеты Apple приложения из сторонних магазинов — в данном случае это были неофициальные китайские App Store.

При подключении к этим магазинам, замаскированным под настоящий App Store, у пользователей спрашивали логин и пароль Apple ID, после чего введённые данные отправлялись на сторонний сервер — то есть воровались.

В Palo Alto Networks считают, что AceDeceiver был нацелен преимущественно на китайских пользователей, однако это первый случай, когда троян на iOS использовал уязвимость в технологии FairPlay. Эту уязвимость использовали ещё с 2013 года для установки пиратских копий платных приложений, однако никогда до этого — троянов.