Nuovo Trojan carica programmi malware su iOS, utilizzando un bug nel DRM

Secondo Palo Alto Networks, un nuovo programma maligno, denominato AceDeceiver, ha già infettato circa 6 milioni di dispositivi iOS non sottoposti a procedure di jailbreaking, appartenenti ad utenti ubicati in Cina.

I ricercatori hanno rilevato che il Trojan in questione infetta i dispositivi mobile attraverso i PC Windows, e sfrutta determinate falle nel sistema di gestione dei diritti digitali (DRM) realizzato da Apple. Per il momento, AceDeceiver è stato individuato esclusivamente entro i confini del territorio cinese; Palo Alto riconosce che si tratta del primo malware in grado di infettare i dispositivi Apple utilizzando imperfezioni nel sistema di protezione DRM denominato FairPlay. Nella circostanza, non è in alcun modo necessario effettuare il jailbreak del dispositivo mobile.

“Inizialmente è comparso sulla scena XcodeGhost, poi ZergHelper; adesso, sul panorama del malware troviamo AceDeceiver – afferma, elencando minacce IT dai tratti simili, Ryan Olson, direttore della ricerca antivirus condotta da Palo Alto Networks, nel commentare la nuova scoperta in un’intervista rilasciata a Threatpost. – Tutti i software malevoli appena citati, riconducibili alla stessa tipologia, contribuiscono al graduale indebolimento della protezione implementata nell’App Store, il noto negozio di applicazioni gestito da Apple”. AceDeceiver, secondo quanto asserisce l’esperto, permette ai malintenzionati di ottenere l’accesso MitM (man-in-the-middle) al dispositivo iOS, e, allo stesso modo, costringe subdolamente l’utente-vittima a fornire il proprio ID Apple agli aggressori.

Il nuovo malware iOS si differenzia dai suoi predecessori per il fatto di non ricorrere all’utilizzo di certificati legittimi Apple, per penetrare all’interno del dispositivo non-jailbroken. In sostituzione, esso si avvale di una particolare variante della tecnica conosciuta come attacco “FairPlay Man-In-The-Middle”, impiegata già da un paio di anni a questa parte per la distribuzione di software pirata. Secondo il dettagliato report stilato da Palo Alto, il Trojan AceDeceiver rappresenta il primo caso in cui una simile variante di malware viene utilizzata per installare applicazioni nocive su dispositivi iOS, all’insaputa dell’utente.

Le ricerche condotte hanno evidenziato come gli autori di AceDeceiver si stessero preparando alla campagna malevola già da molti mesi. Nella seconda metà dello scorso anno essi sono riusciti ad introdurre nell’App Store tre diverse varianti del programma AceDeceiver con funzione di screen saver. Tale pubblicazione era in sostanza necessaria per poter ottenere i codici di autorizzazione Apple, richiesti attraverso iTunes. Questi codici, in seguito, sono stati utilizzati dai malintenzionati, in abbinamento con il programma Windows Aisi Helper, per l’installazione furtiva di app dannose sui dispositivi mobile.

Aisi Helper viene commercializzato esclusivamente sul territorio cinese, e si colloca in veste di strumento concepito per operare con iOS; esso consente di creare copie di backup e reinstallare il sistema, effettuare il jailbreak, gestire il dispositivo ed eseguire l’operazione di “pulizia” del sistema. In questo caso, tuttavia, la presenza di tale client nel PC Windows agevola ugualmente il compito degli attacker, facilitando l’installazione di software nocivi sul dispositivo iOS, nel momento in cui quest’ultimo viene collegato al computer. L’installazione viene eseguita da AceDeceiver, sostituendo l’handshake di FairPlay tramite il proprio server di autorizzazione. Un attacco del genere viene definito “FairPlay Man-In-The-Middle”; esso è stato utilizzato per la prima volta nel 2014.

Apple è stata debitamente avvisata, nel mese scorso, riguardo alla vulnerabilità AceDeceiver, ed ha subito rimosso i tre screen saver fasulli dal proprio negozio di applicazioni. Palo Alto, tuttavia, avverte che l’attacco si rivela ancora possibile. “Finché gli aggressori sono in possesso di una copia del codice di autorizzazione, non è indispensabile, per essi, disporre dell’accesso all’App Store, per poter distribuire tali applicazioni dannose”, – affermano i ricercatori nel proprio blog post. Olson, da parte sua, ha confermato ai giornalisti che simili abusi sono del tutto possibili, in quanto i risultati della verifica eseguita attraverso il meccanismo DRM di Apple sono validi, e quindi utilizzabili, anche al di fuori dell’ecosistema iTunes.

Una volta installato sul dispositivo iOS, AceDeceiver è in grado di funzionare come app store alternativo. Esso opera sotto il diretto controllo dei malfattori, offrendo un’ampia gamma di giochi e utility di vario genere. Nella circostanza, all’utente viene ugualmente proposto di inserire il proprio ID Apple e la relativa password, per poter accedere liberamente a software pirata distribuito in forma gratuita.

Il problema sorto con la comparsa di AceDeceiver non è certo di facile soluzione, sostiene Olson. Nel caso del suddetto ZergHelper, la società Apple ha semplicemente rimosso il malware dal proprio store. Il nuovo Trojan si caratterizza per il fatto che esso si basa su un client Windows, ed utilizza tempestivamente il codice di autorizzazione ottenuto, così come determinate falle a livello di progettazione del sistema DRM FairPlay.

Al momento della pubblicazione del presente blog post, Apple non ha ancora risposto alla richiesta inviata da Threatpost in merito ad un commento sull’accaduto.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *