Un nuevo tipo de malware de iOS ha sido descubierto. El malware explota defectos en el diseño de la gestión de derechos digitales por parte de Apple. A diferencia de la mayoría de cepas de malware en iOS, el llamado AceDeceiver funciona en los sistemas iOS sin Jailbreak. Ha sido descubierto por el investigador Claud Xiao de Palo Alto Networks. El malware se encontró en el interior de 3 aplicaciones de la AppStore y se encontraba robando Apple ID y contraseñas. Apple ha eliminado las apps de la AppStore esta semana.
La técnica utilizada por el malware se ha denominado como FairPlay Man in the Middle y permite instalar aplicaciones pirateadas en iPhone desde 2013. Los usuarios que querían software pirata tienen un código de autorización para una aplicación legítima, como exige el protocolo FairPlay. Estos códigos son solicitados por los dispositivos iPhone desde iTunes para probar que la aplicación que fue comprada. Los piratas utilizaron software para PC, el cual se hizo pasar por un cliente de iTunes para que se pudiera almacenar y enviar códigos de autorización para aplicaciones. Estos códigos podrían ser utilizados para engañar con eficacia a un dispositivo iOS. Entonces ellos podrían instalar aplicaciones en tantos dispositivos quisieran.
Un atacante o grupo de atacantes adoptaron esta técnica con AceDeceiver. Para el cliente fake de iTunes utilizaron una herramienta popular llama Aisi Helper Windows, que se ejecuta en el sistema operativo de Microsoft, pero no había sido utilizada previamente para este tipo de propósitos. Cuando los usuarios descargan Aisi, el sistema intentará automáticamente descargar el malware de la AppStore y la instalará automáticamente en los dispositivos iOS adjuntos. No se requiere confirmación por parte del usuario.
Una vez que se conseguía instalar apps los atacantes comenzaron con el desvío de información de los usuarios infectados. La información robada eran Apple ID y contraseñas. Apple ha eliminado las aplicaciones de la tienda después de que Palo Alto Networks enviara un informe en Febrero con la noticia. La firma de seguridad recomienda que cualquier persona que instaló Aisi y aplicaciones iOS a partir de Marzo del año 2015 las quite. Además, se debe cambiar las credenciales, ya que pueden haber sido robadas. Si no se tiene un 2FA para la cuenta de Apple, también se recomienda ponerlo.
La técnica utilizada por el malware se ha denominado como FairPlay Man in the Middle y permite instalar aplicaciones pirateadas en iPhone desde 2013. Los usuarios que querían software pirata tienen un código de autorización para una aplicación legítima, como exige el protocolo FairPlay. Estos códigos son solicitados por los dispositivos iPhone desde iTunes para probar que la aplicación que fue comprada. Los piratas utilizaron software para PC, el cual se hizo pasar por un cliente de iTunes para que se pudiera almacenar y enviar códigos de autorización para aplicaciones. Estos códigos podrían ser utilizados para engañar con eficacia a un dispositivo iOS. Entonces ellos podrían instalar aplicaciones en tantos dispositivos quisieran.
Figura 1: Esquema del ataque |
Un atacante o grupo de atacantes adoptaron esta técnica con AceDeceiver. Para el cliente fake de iTunes utilizaron una herramienta popular llama Aisi Helper Windows, que se ejecuta en el sistema operativo de Microsoft, pero no había sido utilizada previamente para este tipo de propósitos. Cuando los usuarios descargan Aisi, el sistema intentará automáticamente descargar el malware de la AppStore y la instalará automáticamente en los dispositivos iOS adjuntos. No se requiere confirmación por parte del usuario.
Una vez que se conseguía instalar apps los atacantes comenzaron con el desvío de información de los usuarios infectados. La información robada eran Apple ID y contraseñas. Apple ha eliminado las aplicaciones de la tienda después de que Palo Alto Networks enviara un informe en Febrero con la noticia. La firma de seguridad recomienda que cualquier persona que instaló Aisi y aplicaciones iOS a partir de Marzo del año 2015 las quite. Además, se debe cambiar las credenciales, ya que pueden haber sido robadas. Si no se tiene un 2FA para la cuenta de Apple, también se recomienda ponerlo.
No está claro cuantos infectados puede haber con AceDeceiver, a pesar de que todas las víctimas están en China, según comentó Palo Alto. El investigador Xiao afirmó que las técnicas utilizadas por el programa malicioso podrían ser reutilizadas fácilmente. No está claro si Apple puede detener los ataques utilizando el bypass FairPlay. Seguramente en los próximos días se publicarán más detalles o, incluso, algún nuevo malware que se aproveche de este tipo de técnicas.
No hay comentarios:
Publicar un comentario