Новый вирус заражает все iPhone и iPad подряд

Безопасность Стратегия безопасности Пользователю Техника
мобильная версия
, Текст: Сергей Попсулин

Обнаружен новый вирус, который заражает iPhone и iPad вне зависимости, была ли их прошивка модифицирована джейлбрейком или нет. Пока хакеры проявляют активность только в Китае.  


Новый вирус для iPhone и iPad

Аналитики Palo Alto Networks сообщили об обнаружении первого вируса для Apple iOS, использующего для заражения устройств недостатки Apple FairPlay. Это технология управления цифровыми правами (Digital Rights Management — DRM), призванная бороться с распространением нелицензионного контента. 

Ранее недостатки FairPlay использовались для распространения пиратских приложений, но никогда — для распространения вредоносного ПО, подчеркнули исследователи Palo Alto Networks. 

Новый вирус одинаково успешно заражает как взломанные устройства, так и устройства с оригинальной прошивкой, добавили аналитики. После того как он на них попадает, он похищает логин и пароль Apple ID, отсылая их на командно-контрольный сервер злоумышленников. 

Заражение через ПК

Заражение iOS-устройств происходит через ПК настольной Windows-программой под названием Aisi Helper, разработанной китайской компанией. Это приложение распространяется в виде безобидной утилиты, предназначенной для управления iOS-устройством, часть функций которой заменяет функции официального приложения iTunes.


Принцип заражения iOS-устройства новым вирусом

Впервые приложение Aisi Helper было выпущено в 2014 г. И до 2015 г. оно не совершало каких-либо противоправных действий. По словам аналитиков, версия приложения, ведущая вредоносную активность, была загружена ими в феврале 2016 г. с официального сайта разработчика. 

После того как Aisi Helper попадает на ПК, она устанавливает на подключенный iPhone или iPad вредоносное приложение. Которые появляются в сетке ярлыков, как и вполне легальные программы. Поэтому один из способов узнать о наличии вируса — проверить, нет ли в устройстве приложений, которые пользователь никогда не покупал и не загружал самостоятельно.

Обман системы защиты

Устанавливая вирус на устройства, Aisi Helper имитирует iTunes, которое позволяет устанавливать приложения на мобильное устройство, предварительно загрузив из их App Store на ПК. Когда  выполняется установка, iOS-устройство проверяет, было ли устанавливаемое приложение загружено из App Store. И только после того, как проверка прошла успешно, позволяет его установить. 

Для того чтобы обмануть эту систему, злоумышленники пошли на следующее. Они заранее создали легитимные приложения и добились их размещения в App Store. Замаскированные под каталоги рисунков рабочего стола, в действительности они «похищали» код авторизации. Копии именно этого кода авторизации и использовались злоумышленниками для того, чтобы в дальнейшем обмануть систему проверки принадлежности приложений к App Store. 

Apple после того, как была предупреждена об этом, удалила из App Store указанные приложения. Однако это не привело к сворачиванию хакерской активности, так как злоумышленники уже смогли завладеть кодом авторизации. И необходимости в постоянном наличии программ для его хищения в App Store нет. 

Географический фильтр

По словам исследователей, вирус имеет географический фильтр и начинает работать только тогда, когда обнаруживает, что устройство находится в Китае. Поэтому у жителей в других странах пока нет причин о беспокойстве. Тем не менее, злоумышленники в любой момент могут изменить настройки фильтра, предупредили эксперты. 

Предыдущая находка

Первый вирус, заражающий iPhone и iPad вне зависимости от состояния их прошивки (взломана она или нет), был обнаружен в 2014 г. Нашли его специалисты этой же компании — Palo Alto Networks. Одним из отличий нового вируса от предыдущих является то, что все предыдущие вирусы для проникновения на iOS-устройства использовали корпоративные сертификаты.