Nieuwe malware misbruikt designfout in iOS
De meeste iOS-malware misbruikt enterprisecertificaten alvorens het zichzelf op het toestel van een slachtoffer kan installeren. Palo Alto heeft echter een Trojaans paard, AceDeceiver genaamd, ontdekt dat misbruik maakt van designfouten in het digital rights managementsysteem van Apple. Hierdoor lopen niet alleen gebruikers van jailbroken toestellen, maar eenieder met een iPhone of iPad gevaar.
Aisi Helper
AceDeceiver maakt gebruik van de techniek ‘FairPlay Man-In-The-Middle (MITM)’, welke al sinds 2013 wordt gebruikt voor het verspreiden van gepirateerde apps. Eerst kochten de cybercriminelen een app van de App Store aan om de autorisatiecode te onderscheppen. Hierna hebben ze pc-software ontwikkeld die het gedrag van iTunes-clients nabootst. Met deze software kunnen apps naar iOS-toestellen verbonden met de pc worden gedownload, zonder het medeweten van het slachtoffer.
De software die werd gebruikt voor het uitvoeren van de Fairplay MITM-aanvallen werd Aisi Helper genoemd en deed zich voor als een programma dat diensten verleende voor iOS-toestellen, zoals backups nemen en jailbreaking. Behalve deze onschuldige services houdt de software zich echter eveneens bezig met het installeren van kwaadaardige apps op de toestellen van het slachtoffer. Deze apps verzorgen een connectie met een third party-app store, welke door de cybercriminelen werd beheerd. In deze app store worden bezoekers ertoe aangezet hun Apple ID en paswoord op te geven, met alle gevolgen van dien.
Kwaadaardige apps
Tussen juli 2015 en februari 2016 werden er drie verschillende iOS-apps van de AceDeceiver-familie naar de App Store geüpload, welke zich alle drie voordeden als wallpaper apps. De apps omzeilden meermaals de beveiliging van Apple, maar werden ondertussen door het softwarebedrijf offline gehaald. De cybercriminelen kunnen echter nog steeds nieuwe slachtoffers maken, aangezien de apps slechts eenmalig op de App Store aanwezig hoeven te zijn. De aanvaller heeft immers slechts één kopie van de autorisatie van Apple nodig om zijn apps te verspreiden.