© Copyright 2020 Faq-mac.
iOS

Todo lo que necesitas saber sobre AceDeceiver, un troyano que explota el DRM de Apple para infectar cualquier dispositivo iOS

19 marzo, 20164 Minutos de lectura

Lo que hace diferente a AceDeceiver frente a versiones previas de malware para iOS es que en lugar de abusar de los certificados de empresa para instalar aplicaciones como ha ocurrido en los dos últimos años, el malware se aprovecha de una vulnerabilidad en el diseño del mecanismo de DRM de Apple e incluso cuando Apple ha retirado aplicaciones con AceDeceiver de la App Store, puede seguir expandiéndose gracias a un novedoso vector de ataque.

AceDeceiver es aparentemente el primer troyano que se aprovecha de los problemas de diseño del DRM de Apple para instalar aplicaciones maliciosas en dispositivos iOS incluso cuando estos no han hecho jailbroken, Esta técnica es denominada “FairPlay Man-In-The-Middle (MITM)” y lleva utilizándose desde 2013 para instalar aplicaciones pirateadas, pero es la primera vez que se utiliza para distribuir malware.

El esquema del funcionamiento del ataque, sin embargo, requiere unas condiciones muy especiales que incluyen que el ordenador, con Windows, esté infectado por una aplicación específica, que el usuario descargue las aplicaciones en su ordenador y luego las sincronice con su dispositivo iOS.

En un entorno normal, un usuario compra una aplicación en la App Store desde su ordenador a través de iTunes y la sincroniza con con su dispositivo iOS, que solicita un código de autorización por cada app instalada desde la App Store para probar que la aplicación ha sido, efectivamente, comprada. Con el ataque FairPlay MITM, los atacantes interceptan la autorización de una aplicación maliciosa en la App Store, capturan esa autorización y después, utilizando un software para PC con Windows, inyectan esa aplicación maliciosa en el dispositivo del usuario sin que se de cuenta al sincronizar el dispositivo. Esta es una formada instalar aplicaciones gratis, pero el creador del software puede instalar cualquier aplicación, incluyendo aplicaciones maliciosas incluso sin el conocimiento del usuario.

Trending
Mojo: Conéctate al iTunes de tus amigos a través de Internet

Primer paso

Los desarrolladores de este ataque subieron como parte del esquema, tres aplicaciones AceDeceiver a la tienda oficial de aplicaciones de Apple entre julio de 2015 y febrero de 2016, y todas ellas eran aplicaciones de fondos de pantalla. Estas tres aplicaciones pasaron hasta 7 rondas de revisión de código por parte de Apple, incluyendo la revisión inicial y varias actualizaciones.

¿Cómo eludieron los controles del código de las aplicaciones realizados por los revisores de Apple? Las aplicaciones están diseñadas para ubicarse geográficamente al iniciarse, y solo muestran su comportamiento oculto cuando el usuario atacado está en China (aunque esto puede cambiarse fácilmente más adelante). Apple retiró esas aplicaciones de la App Store en febrero de 2016 al ser descubiertas por Paloalto Networks, pero el tipo de ataque ya es viable incluso sin estar esas aplicaciones en la tienda de Apple porque los atacantes ya han conseguido los códigos de autorización al descargar las aplicaciones, y las mismas no son necesarias para distribuir el malware, sino, simplemente, era una forma de obtener una parte de información valiosa para el siguiente paso.

El siguiente paso

Una vez conseguidos estos códigos de autorización de instalación, el siguiente paso en el esquema era crear un gancho para captar incautos en forma de un cliente para Windows (Aisi Helper) que ejecuta el ataque FairPlay MITM bajo la promesa de ofrecer servicios de reinstalación, jailbreaking, copia de seguridad, gestión de dispositivos, limpieza del sistema y sobre todo, el gancho más importante, la instalación de aplicaciones pirateadas.

EL usuario tiene que instalar de forma consciente Aisi Helper en su PC con Windows y una vez instalado, incluso solicita los datos de la ID de Apple del usuario para mejor servicio y características. Estos datos acaban, una vez comprometido el dispositivo, en los servidores de control de AceDeceiver después de ser cifrados. Aisi Helper utiliza entonces los códigos de autorización obtenidos de la App Store para instalar las aplicaciones maliciosas que se aprovechan del fallo en el DRM de Apple y que ofrecen juegos y apps gratis, aunque ya sabemos como acaba todo esto.

Punto a punto

AceDeceiver de momento (y muy probablemente en un futuro) solo afecta a usuarios de China continental. El gran problema es que el formato del esquema puede ser fácilmente replicado para ataques en otras zonas geográficas para infectar dispositivos incluso cuando no han sido jailbroken, pero sus usuarios están dispuestos a descargar aplicaciones pirateadas bajo cualquier otro método y usan, de momento, ordenadores Windows para la sincronización del dispositivo. Adicionalmente, esta nueva técnica de ataque es más peligrosa que otras anteriores porque:

  1. No requiere de certificados de empresa para ejecutarse ya que no está bajo un esquema de Mobile Device Management y la inyección de las aplicaciones no requiere de la aprobación del usuario.
  2. No ha sido parcheado e incluso cuando se haga, versiones anteriores de iOS seguirían siendo vulnerables al esquema.
  3. Incluso cuando las aplicaciones maliciosas han sido eliminadas de la App Store, esto no afecta al ataque ya que los atacantes no las necesitan para difundir malware, ya que una vez obtenidos los código de autorización, su funcionalidad ya no tiene sentido.
  4. El ataque no requiere de la interacción del usuario para la instalación de las aplicaciones maliciosas en su teléfono, realizado en segundo plano una vez ha instalado el cliente en su ordenador, todo se hace en segundo plano sin necesidad de autorizaciones y eligiendo zonas geográficas específicas, de forma que es muy difícil para una empresa de seguridad ubicada fuera de esa zona o los propios revisores de la App Store detectar comportamientos anómalos de la misma.
  5. Las aplicaciones maliciosas instaladas en el dispositivo sí aparecen en la pantalla de inicio del dispositivo, lo que es una forma de detectar que ha sido comprometido ya que el usuario no las ha descargado manualmente.

Mitigando el riesgo

Apple ha retirado las tres aplicaciones de AceDeceiver de la App Store a finales de febrero de 2016. Apple también ha revocado varios certificados de empresa utilizados por versiones antiguas de AceDeceiver.

Los usuarios que instalaron AisiHelper después de Marzo de 2015 deberían eliminar esa aplicación de su PC con Windows inmediatamente además de cambiar la contraseña de su ID de Apple y activar la autenticación en dos pasos. Si utilizas un Mac este problema no debería afectarte, pero es importante recalcar que cualquier forma de instalación de aplicaciones pirateadas es una puerta a la instalación de malware, se haya hecho jailbroken en el mismo o no.

En empresas, los administradores deberían identificar cualquier aplicación instalada en los dispositivos iOS con estos identificadores de paquete:

  • aisi.aisiring
  • aswallpaper.mito
  • i4.picture

Y eliminarlos. Adicionalmente, deberían comprobar el uso de certificados desconocidos y comprobar el tráfico desde el dominio i4[.]com.

Más información técnica sobre el funcionamiento del esquema de AceDeceiver en Paloalto Networks.

Artículo anterior Moom, gestor de ubicación de ventanas desde el teclado
Carlos Burges Ruiz de Gopegui

Editor de faq-mac.com. Autor de libros electrónicos sobre Apple y productividad. Content Manager en LinkedIn Learning. Síguelo en Twitter | LinkedIn.

0 0 votos
Article Rating
Subscribe
Notify of
0 Comments
Opiniones Inline
Ver todos los comentarios

Artículos relacionados

Big SuriOSiOS 15iOS 16iOS 17iPadmacOSmacOS SonomamacOS VenturaMontereyTutoriales

Todo lo que necesitas saber sobre Atajos

22 abril, 2024
Apple WatchiOSiPadmacOS

¿Sabes qué es la verificación de claves de contacto de iMessage?

2 abril, 2024
iOSmacOS

Cómo convertir una Live Photo en un videoclip

27 marzo, 2024
iOS

Cómo usar Compartir llegada con amigos y familiares

21 marzo, 2024
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x