A Unit 42, unidade de pesquisas da Palo Alto Networks, identificou um novo trojan capaz de infectar dispositivos iOS que não passaram por jailbreak, ou seja, que não tiveram o sistema operacional desbloqueado para a instalação de softwares não autorizados pela Apple. Chamado “AceDeceiver“, o malware afeta atualmente usuários Apple na China.
O AceDeceiver se aproveita de uma falha no mecanismo de proteção DRM da Apple chamado FairPlay por meio de uma técnica chamada “FairPlay Man-in-the-Middle”, permitindo que os hackers instalem aplicativos maliciosos em dispositivos iOS, ignorando as medidas de segurança da Apple. A Palo Alto observa que, embora esta técnica tenha sido usada por hackers desde 2013, esta é a primeira vez que foi utilizada para espalhar malware.
No ataque FairPlay, os agentes maliciosos compram um aplicativo da App Store e, em seguida, interceptam e salvam o código de autorização. Na sequência, desenvolvem um software para PC que simula o comportamento do cliente no iTunes, e engana o dispositivo iOS para que ele “acredite” que o aplicativo foi comprado pela vítima. Portanto, o usuário pode instalar aplicativos pelos quais nunca pagou, e o criador do software pode instalar aplicativos potencialmente maliciosos sem o conhecimento do usuário – o único sinal será um novo ícone de aplicativo na tela inicial, que o usuário pode achar que instalou por engano.
De julho do ano de 2015 até fevereiro, três aplicativos iOS com AceDeceiver foram enviados para a App Store oficial. Estes se mostram como aplicativos de papel de parede e fornecem aos hackers um código falso de autorização para ser utilizado no ataque.
O autor do malware criou um software para clientes Windows chamado “Aisi Helper” para transportar o ataque. O “Aisi Helper” alegava fornecer serviços como backup e limpeza do sistema, foi instalado por usuários na China, e então passou a instalar aplicativos iOS maliciosos em dispositivos conectados, oferecendo uma terceira App Store com conteúdo livre como isca. O aplicativo desta App Store solicitava aos usuários sua Apple ID e senha, e a informação era enviada para o servidor do AceDeceiver.
Embora a Apple tenha removido os aplicativos da App Store em fevereiro, o ataque permanece ativo, já que os agentes maliciosos ainda possuem o código de autorização. A Palo Alto Networks alerta que o AceDeceiver é mais uma prova de como pode ser fácil infectar dispositivos iOS, mesmo os que não tenham passado por jailbreak, o que poderia abrir caminho para que ameaças similares comecem a surgir em breve em mais regiões.
Para acessar o relatório completo em inglês da Palo Alto Networks sobre o AceDeceiver, acesse http://researchcenter.paloaltonetworks.com/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drm-design-flaws-to-infect-any-ios-device/
