News

Nuovo Trojan carica programmi malware su iOS, utilizzando un bug nel DRM

Secondo Palo Alto Networks, un nuovo programma maligno, denominato AceDeceiver, ha già infettato circa 6 milioni di dispositivi iOS non sottoposti a procedure di jailbreaking, appartenenti ad utenti ubicati in Cina.

I ricercatori hanno rilevato che il Trojan in questione infetta i dispositivi mobile attraverso i PC Windows, e sfrutta determinate falle nel sistema di gestione dei diritti digitali (DRM) realizzato da Apple. Per il momento, AceDeceiver è stato individuato esclusivamente entro i confini del territorio cinese; Palo Alto riconosce che si tratta del primo malware in grado di infettare i dispositivi Apple utilizzando imperfezioni nel sistema di protezione DRM denominato FairPlay. Nella circostanza, non è in alcun modo necessario effettuare il jailbreak del dispositivo mobile.

“Inizialmente è comparso sulla scena XcodeGhost, poi ZergHelper; adesso, sul panorama del malware troviamo AceDeceiver – afferma, elencando minacce IT dai tratti simili, Ryan Olson, direttore della ricerca antivirus condotta da Palo Alto Networks, nel commentare la nuova scoperta in un’intervista rilasciata a Threatpost. – Tutti i software malevoli appena citati, riconducibili alla stessa tipologia, contribuiscono al graduale indebolimento della protezione implementata nell’App Store, il noto negozio di applicazioni gestito da Apple”. AceDeceiver, secondo quanto asserisce l’esperto, permette ai malintenzionati di ottenere l’accesso MitM (man-in-the-middle) al dispositivo iOS, e, allo stesso modo, costringe subdolamente l’utente-vittima a fornire il proprio ID Apple agli aggressori.

Il nuovo malware iOS si differenzia dai suoi predecessori per il fatto di non ricorrere all’utilizzo di certificati legittimi Apple, per penetrare all’interno del dispositivo non-jailbroken. In sostituzione, esso si avvale di una particolare variante della tecnica conosciuta come attacco “FairPlay Man-In-The-Middle”, impiegata già da un paio di anni a questa parte per la distribuzione di software pirata. Secondo il dettagliato report stilato da Palo Alto, il Trojan AceDeceiver rappresenta il primo caso in cui una simile variante di malware viene utilizzata per installare applicazioni nocive su dispositivi iOS, all’insaputa dell’utente.

Le ricerche condotte hanno evidenziato come gli autori di AceDeceiver si stessero preparando alla campagna malevola già da molti mesi. Nella seconda metà dello scorso anno essi sono riusciti ad introdurre nell’App Store tre diverse varianti del programma AceDeceiver con funzione di screen saver. Tale pubblicazione era in sostanza necessaria per poter ottenere i codici di autorizzazione Apple, richiesti attraverso iTunes. Questi codici, in seguito, sono stati utilizzati dai malintenzionati, in abbinamento con il programma Windows Aisi Helper, per l’installazione furtiva di app dannose sui dispositivi mobile.

Aisi Helper viene commercializzato esclusivamente sul territorio cinese, e si colloca in veste di strumento concepito per operare con iOS; esso consente di creare copie di backup e reinstallare il sistema, effettuare il jailbreak, gestire il dispositivo ed eseguire l’operazione di “pulizia” del sistema. In questo caso, tuttavia, la presenza di tale client nel PC Windows agevola ugualmente il compito degli attacker, facilitando l’installazione di software nocivi sul dispositivo iOS, nel momento in cui quest’ultimo viene collegato al computer. L’installazione viene eseguita da AceDeceiver, sostituendo l’handshake di FairPlay tramite il proprio server di autorizzazione. Un attacco del genere viene definito “FairPlay Man-In-The-Middle”; esso è stato utilizzato per la prima volta nel 2014.

Apple è stata debitamente avvisata, nel mese scorso, riguardo alla vulnerabilità AceDeceiver, ed ha subito rimosso i tre screen saver fasulli dal proprio negozio di applicazioni. Palo Alto, tuttavia, avverte che l’attacco si rivela ancora possibile. “Finché gli aggressori sono in possesso di una copia del codice di autorizzazione, non è indispensabile, per essi, disporre dell’accesso all’App Store, per poter distribuire tali applicazioni dannose”, – affermano i ricercatori nel proprio blog post. Olson, da parte sua, ha confermato ai giornalisti che simili abusi sono del tutto possibili, in quanto i risultati della verifica eseguita attraverso il meccanismo DRM di Apple sono validi, e quindi utilizzabili, anche al di fuori dell’ecosistema iTunes.

Una volta installato sul dispositivo iOS, AceDeceiver è in grado di funzionare come app store alternativo. Esso opera sotto il diretto controllo dei malfattori, offrendo un’ampia gamma di giochi e utility di vario genere. Nella circostanza, all’utente viene ugualmente proposto di inserire il proprio ID Apple e la relativa password, per poter accedere liberamente a software pirata distribuito in forma gratuita.

Il problema sorto con la comparsa di AceDeceiver non è certo di facile soluzione, sostiene Olson. Nel caso del suddetto ZergHelper, la società Apple ha semplicemente rimosso il malware dal proprio store. Il nuovo Trojan si caratterizza per il fatto che esso si basa su un client Windows, ed utilizza tempestivamente il codice di autorizzazione ottenuto, così come determinate falle a livello di progettazione del sistema DRM FairPlay.

Al momento della pubblicazione del presente blog post, Apple non ha ancora risposto alla richiesta inviata da Threatpost in merito ad un commento sull’accaduto.

Fonte: Threatpost

Nuovo Trojan carica programmi malware su iOS, utilizzando un bug nel DRM

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox