AceDeceiver è il nome di quello che sarebbe il primo trojan per iOS in grado di “infettare” anche i dispositivi sui quali non è stato applicato il jailbreak. Il sistema sfrutta per l’infezione i PC con Windows ma non bypassare le protezioni di sistema usando i certificati di tipo enterprise come visto in casi precedenti. Il malware è stato individuato da Palo Alto Networks e avrebbe colpito alcuni utenti cinesi che, anziché usare iTunes, usano un software per PC che simula il comportamento di iTunes, spacciandosi come utility in grado di sostituire il programma di Apple.
Il meccanismo utilizzato sfrutta una falla in FairPlay, la tecnologia di digital rights management (DRM, gestione dei diritti digitali) creata da Apple. Palo Alto Networks chiama la tecnica “FairPlay Man-in-the-Middle”, un meccanismo già usato in passato per installare app pirata in iOS.
Sono state create alcune applicazioni ad hoc riuscendo in qualche modo a passare i controlli di Apple, rimaste a disposizione per qualche tempo su App Store. Queste applicazioni, una volta “comprate” dai pirati cedono un codice identificativo che viene manipolato in maniera da essere reso compatibile con il dispositivo iOS di una vittima e far credere al dispositivo di essere stato legittimamente scaricato da App Store. La chiave di volta del sistema è un’app per Windows denominata “Aisi Helper”. Il download di questo programma è indispensabile per portare a termine l’attacco; per convincere gli utenti a installarlo, viene presentata come utility per il backup e la pulizia del computer. Una volta presente, silenziosamente, acquisisce le applicazioni perniciose che vengono installate sul dispositivo all’insaputa dell’utente. L’operazione è possibile perché i pirati hanno ottenuto il codice unico dell’applicazione iOS nel momento in cui è stata accettata su App Store. Da qui in avanti siamo di fronte ad un’operazione di phishing. Gli utenti ignari, vedono l’app, e pensano di averla scaricata senza ricordarsi. La lanciano e questa acquisisce informazioni come Apple ID e password, che poi vengono spedite ad AceDeceiver.
Apple ha rimosso le app “incriminate” dall’App Store ma il meccanismo di attacco è ancora funzionante perché ai pirati basta avere ottenuto una sola volta il codice dell’app. A quel punto anche se essa non è più sullo store, può essere distribuita da un server fantasma.
Secondo i ricercatori di sicurezza, nonostante il malware per ora abbia colpito solo la Cina, non è da escludere che questo possa arrivare in altre nazioni, presentando magari la pseudo utility per Windows con un nome diverso. Come sempre il consiglio è di prestare massima attenzione prima eseguire qualsiasi applicazione scaricata da fonti sconosciute e non sicure.
