Un nuevo tipo de
malware de
iOS ha sido descubierto. El
malware explota defectos en el diseño de la gestión de derechos digitales por parte de
Apple. A diferencia de la mayoría de cepas de
malware en
iOS, el llamado
AceDeceiver funciona en los sistemas
iOS sin
Jailbreak. Ha sido descubierto por el investigador
Claud Xiao de Palo Alto Networks. El
malware se encontró en el interior de
3 aplicaciones de la
AppStore y se encontraba robando
Apple ID y contraseñas.
Apple ha eliminado las
apps de la
AppStore esta semana.
La técnica utilizada por el
malware se ha denominado como
FairPlay Man in the Middle y permite instalar aplicaciones pirateadas en
iPhone desde
2013. Los usuarios que querían software pirata tienen un código de autorización para una aplicación legítima, como exige el protocolo
FairPlay. Estos códigos son solicitados por los dispositivos
iPhone desde
iTunes para probar que la aplicación que fue comprada. Los piratas utilizaron software para
PC, el cual se hizo pasar por un cliente de
iTunes para que se pudiera almacenar y enviar códigos de autorización para aplicaciones. Estos códigos podrían ser utilizados para engañar con eficacia a un dispositivo
iOS. Entonces ellos podrían instalar aplicaciones en tantos dispositivos quisieran.
|
Figura 1: Esquema del ataque |
Un atacante o grupo de atacantes adoptaron esta técnica con
AceDeceiver. Para el cliente
fake de
iTunes utilizaron una herramienta popular llama
Aisi Helper Windows, que se ejecuta en el sistema operativo de
Microsoft, pero no había sido utilizada previamente para este tipo de propósitos. Cuando los usuarios descargan
Aisi, el sistema intentará automáticamente descargar el
malware de la
AppStore y la instalará automáticamente en los dispositivos
iOS adjuntos. No se requiere confirmación por parte del usuario.
Una vez que se conseguía instalar
apps los atacantes comenzaron con el desvío de información de los usuarios infectados. La información robada eran
Apple ID y contraseñas.
Apple ha eliminado las aplicaciones de la tienda después de que
Palo Alto Networks enviara un informe en Febrero con la noticia. La firma de seguridad recomienda que cualquier persona que instaló
Aisi y aplicaciones
iOS a partir de Marzo del año 2015 las quite. Además, se debe cambiar las credenciales, ya que pueden haber sido robadas. Si no se tiene un
2FA para la cuenta de
Apple, también se recomienda ponerlo.
No está claro cuantos infectados puede haber con AceDeceiver, a pesar de que todas las víctimas están en China, según comentó Palo Alto. El investigador Xiao afirmó que las técnicas utilizadas por el programa malicioso podrían ser reutilizadas fácilmente. No está claro si Apple puede detener los ataques utilizando el bypass FairPlay. Seguramente en los próximos días se publicarán más detalles o, incluso, algún nuevo malware que se aproveche de este tipo de técnicas.