Advertentie

iOS wordt algemeen beschouwd als een van de veiligere mobiele besturingssystemen. Het is vanaf de basis ontworpen om veilig te zijn en heeft daarom veel van de beveiligingsbedreigingen die Android hebben geplaagd, vermeden.

De weinige bedreigingen die bestaan ​​voor het platform Smartphone-beveiliging: kunnen iPhones malware krijgen?Malware die 'duizenden' iPhones treft, kan de gegevens van de App Store stelen, maar de meeste iOS-gebruikers zijn volkomen veilig - dus wat is er aan de hand met iOS en frauduleuze software? Lees verder zijn meestal gecentreerd rond jailbroken apparaten 4 Dwingende veiligheidsredenen om uw iPhone of iPad niet te jailbreakenJailbreaking kan de vele beperkingen van Apple opheffen, maar voordat u uw apparaat jailbreakt, is het een goed idee om de voordelen en mogelijke nadelen af ​​te wegen. Lees verder of degene die anderszins in gevaar zijn gebracht of gebruik maken van gestolen bedrijfscertificaten.

Maar AceDeceiver is anders. Het werd ontdekt door

instagram viewer
Palo Alto Networks eerder deze week, en is in staat om in de fabriek geconfigureerde iPhones te infecteren zonder dat de gebruiker het beseft, door gebruik te maken van fundamentele gebreken in het FairPlay DRM-systeem van Apple.

Van piraterij tot malware

De manier waarop AceDeceiver wordt gedistribueerd, is gebaseerd op iets genaamd "FairPlay Man-In-the-Middle", wat een gemeenschappelijke tactiek die sinds 2013 wordt gebruikt om illegale toepassingen te installeren op niet-gejailbreakte iPhones en iPads.

Wanneer een persoon een iPhone-applicatie van een computer koopt, kan de applicatie onmiddellijk naar die telefoon worden gestuurd. Maar tussen de aankoop en de applicatie die wordt afgeleverd, gebeurt er een hele reeks communicatie tussen de apparaten en de servers van Apple.

Apple stuurt met name een autorisatiecode naar het iOS-apparaat, wat in wezen aan het clientapparaat bevestigt dat de applicatie op legitieme wijze is gekocht. Als iemand een van deze autorisatiecodes vastlegt en kan nabootsen hoe de servers van Apple omgaan met iOS-apparaten, kunnen ze applicaties naar dat apparaat sturen.

AceDeceiverWorkflow

Deze applicaties kunnen applicaties zijn die Apple is niet toegestaan ​​in de App Store te verschijnen 8 Belachelijke en inconsistente Apple App Store-richtlijnen [Advies]Hier is een radicale mening: je zou alle apps die je leuk vindt moeten kunnen uitvoeren op de apparaten die je bezit. Apple is het daar niet mee eens, en het heeft zichzelf in pretzels verdraaid en creëert willekeurige regels voor welke app ... Lees verder , of kunnen illegale toepassingen zijn.

In dit geval zijn de applicaties die worden verspreid door deze nieuwe draai aan de "Fairplay Man-In-The-Middle" malwaretoepassingen.

Maak kennis met Aisi Helper

Voor deze aanval is de FairPlay Man in het midden Wat is een man-in-the-middle-aanval? Beveiligingsjargon uitgelegdAls je hebt gehoord van "man-in-the-middle" -aanvallen maar niet helemaal zeker weet wat dat betekent, dan is dit het artikel voor jou. Lees verder aanval wordt uitgevoerd door de Aisi Helper, een Windows-softwareapplicatie waarvan wordt aangenomen dat deze is ontwikkeld in Shenzhen, China.

Op het eerste gezicht beweert het een legitieme, derde partij te zijn iDevice beheerproduct. Het heeft veel kenmerken van legitieme programma's. Hiermee kunnen gebruikers apparaten op het lokale netwerk jailbreaken en er een back-up van maken en iOS desgewenst opnieuw installeren. Het is in wezen iTunes, zij het zonder de muziekspeler, en is volledig gericht op de Chinese markt.

aisihelper

Volgens ITJuzi, die startups op de Chinese markt profileert, werd het voor het eerst uitgebracht in 2014. Destijds bevatte het geen kwaadaardig gedrag. Sindsdien is het uitgebreid aangepast om de bovengenoemde strategie te gebruiken om malware naar alle aangesloten apparaten te verspreiden.

Wanneer Aisi Helper een aangesloten apparaat detecteert, zal het automatisch en zonder toestemming van de gebruiker beginnen met het installeren van de AppDeciever Trojan. De enige hint dat dit gebeurt, is dat er een mysterieuze en ongewenste applicatie is verschenen in de lijst met apps van de gebruiker.

De AceDeceiver Malware

Op het moment van schrijven waren er drie van deze Trojaanse paarden. Elk van hen is tot nu toe in eerste instantie vermomd als wallpaper-apps. Elk van deze zijn beschikbaar gesteld in de App Store, nadat ze de notoir strikte broncodecontroles van Apple hebben doorstaan, waar ze worden beoordeeld bij indiening en bij elke volgende update. Dit had in theorie moeten voorkomen dat ze in de App Store verschenen.

AceDeceiverWallpaper

Palo Alto Networks is van mening dat de ontwikkelaars deze controles konden omzeilen door ze buiten te sturen China, en in eerste instantie beschikbaar stellen voor slechts een handvol markten, zoals het Verenigd Koninkrijk en Nieuw Zeeland.

Deze specifieke variant van de AceDeciever-malware blijft inactief, tenzij het apparaat een IP-adres heeft in de Volksrepubliek China. Hierdoor en vanwege het bezorgmedium is het duidelijk dat het gericht is op Chinese gebruikers. Hoewel het ook van invloed kan zijn op iedereen die een Chinese VPN gebruikt, of iemand die binnen China reist.

Wanneer de malware detecteert dat het apparaat zich in China bevindt, verandert het van slechts een applicatie in download en wijzig wallpwapers in een die zich voordoet als verschillende Apple-services, zoals de App Store, en Game Center.

AceDeceiver

Het doel hiervan is, voorspelbaar, om Apple-referenties te verzamelen. Hierdoor kan de aanvaller vervolgens applicaties en e-books kopen die ze in de App Store hebben geplaatst, en op zijn beurt een gezonde winst maken. AppDeciever heeft echter niet alleen toegang tot deze inloggegevens, omdat ze veilig zijn opgeslagen in een gecodeerde container.

Dus het gebruikt social engineering-tactieken Wat is social engineering? [MakeUseOf Explains]U kunt de sterkste en duurste firewall van de branche installeren. U kunt werknemers informeren over basisbeveiligingsprocedures en het belang van het kiezen van sterke wachtwoorden. U kunt zelfs de serverruimte vergrendelen - maar hoe ... Lees verder in plaats daarvan. AceDeceiver geeft pop-ups weer die eruitzien alsof ze van Apple zijn gekomen, waarin de gebruiker wordt gevraagd om hun inloggegevens te bevestigen. Als de gebruiker hieraan voldoet, worden deze via het netwerk naar een externe server gestuurd.

Deze applicaties zijn inmiddels verwijderd uit de winkel. Desondanks kunnen ze nog steeds worden geïnstalleerd door een aanvaller, door gebruik te maken van de FairPlay Man-In-The-Middle-aanval.

Moet u zich zorgen maken?

Dus laten we doorgaan met de achtervolging. Heb je reden om je hier zorgen over te maken? Nou ja en nee.

Op dit moment is de belangrijkste manifestatie hiervan geconcentreerd rond China. Het is gericht op Chinese iPhones, het is inactief buiten China en het gebruikt social engineering-tactieken die zorgvuldig zijn ontworpen om succesvol te zijn tegen Chinese gebruikers.

Maar ondanks dat is er reden tot bezorgdheid. Het is tenslotte gebaseerd op een tactiek die sinds 2013 wordt gebruikt om illegale software te installeren. Drie jaar later moet dit gat nog worden gesloten en dat is het ook nog steeds uiteindelijk te exploiteren.

Het feit dat het drie keer met succes in de App Store is gepubliceerd, roept ook serieuze vragen op over het vermogen van Apple om het malware-vrij te houden.

App Winkel

Zoals Palo Alto Labs opmerkt, zou het bovendien triviaal zijn om deze malware opnieuw te bewerken om gebruikers in de VS of Europa te targeten.

Op dit moment is er niet veel te doen om het te bestrijden. Palo Alto Networks raadt iedereen die Aisi Helper heeft geïnstalleerd onmiddellijk aan. Ze zeggen ook dat slachtoffers tweefactorauthenticatie moeten activeren en hun wachtwoorden moeten wijzigen.

Ze hebben ook twee IPS-handtekeningen (Intrusion Prevention System) uitgebracht voor bedrijven die hun firewall-apparaten gebruiken om de aanval te blokkeren. Helaas zijn deze niet beschikbaar voor consumenten.

Terug naar jou

Bent u getroffen door de AceDeceiver Malware? Iemand wie was? Vertel me erover in de reacties hieronder.

Matthew Hughes is een softwareontwikkelaar en schrijver uit Liverpool, Engeland. Hij wordt zelden gevonden zonder een kopje sterke zwarte koffie in zijn hand en is dol op zijn Macbook Pro en zijn camera. Je kunt zijn blog lezen op http://www.matthewhughes.co.uk en volg hem op twitter op @matthewhughes.