3622 17.03.2016, Чт, 13:11, Мск, Текст: Сергій Попсулін
Виявлено новий вірус, який заражає iPhone і iPad незалежно, чи була їх прошивка модифікована джейлбрейком чи ні. Поки хакери виявляють активність тільки в Китаї.
Новий вірус для iPhone і iPad
Аналітики Palo Alto Networks повідомили про виявлення першого вірусу для Apple iOS, що використовує для зараження пристроїв недоліки Apple FairPlay. Це технологія управління цифровими правами (Digital Rights Management - DRM), покликана боротися з поширенням неліцензійного контенту.
Раніше недоліки FairPlay використовувалися для поширення піратських програм, але ніколи - для поширення шкідливого ПЗ, підкреслили дослідники Palo Alto Networks.
Новий вірус однаково успішно заражає як зламані пристрої, так і пристрої з оригінальною прошивкою, додали аналітики. Після того як він на них потрапляє, він викрадає логін і пароль Apple ID, відсилаючи їх на командно-контрольний сервер зловмисників.
Зараження через ПК
Зараження iOS-пристроїв відбувається через ПК настільної Windows-програмою під назвою Aisi Helper, розробленої китайською компанією. Ця програма поширюється у вигляді невинною утиліти, призначеної для управління iOS-пристроєм, частина функцій якої замінює функції офіційного програми iTunes.
Принцип зараження iOS-пристрої новим вірусом
Вперше додаток Aisi Helper було випущено в 2014 р І до 2015 р воно не здійснювало будь-яких протиправних дій. За словами аналітиків, версія програми, яка веде шкідливу активність, була завантажена ними в лютому 2016 року з офіційного сайту розробника.
Після того як Aisi Helper потрапляє на ПК, вона встановлює на підключений iPhone або iPad шкідливий додаток. Які з'являються в сітці ярликів, як і цілком легальні програми. Тому один із способів дізнатися про наявність вірусу - перевірити, чи немає в пристрої додатків, які користувач ніколи не купував і не завантажував самостійно.
Обман системи захисту
Встановлюючи вірус на пристрої, Aisi Helper імітує iTunes, яке дозволяє встановлювати додатки на мобільний пристрій, попередньо завантаживши з їх App Store на ПК. Коли Ви встановлюєте, iOS-пристрій перевіряє, чи було яке встановлюється додаток завантажено з App Store. І тільки після того, як перевірка пройшла успішно, дозволяє його встановити.
Для того щоб обдурити цю систему, зловмисники пішли на наступне. Вони заздалегідь створили законне програмне забезпечення і добилися їх розміщення в App Store. Замасковані під каталоги малюнків робочого столу, в дійсності вони «викрадали» код авторизації. Копії саме цього коду авторизації та використовувалися зловмисниками для того, щоб в подальшому обдурити систему перевірки приналежності додатків до App Store.
Apple після того, як була попереджена про це, видалила з App Store зазначені додатки. Однак це не привело до згортання хакерської активності, так як зловмисники вже змогли заволодіти кодом авторизації. І необхідності в постійному наявності програм для його розкрадання в App Store немає.
географічний фільтр
За словами дослідників, вірус має географічний фільтр і починає працювати тільки тоді, коли виявляє, що пристрій знаходиться в Китаї. Тому у жителів в інших країнах поки немає причин про занепокоєння. Проте, зловмисники в будь-який момент можуть змінити налаштування фільтра, попередили експерти.
Попередня знахідка
Перший вірус, що заражає iPhone і iPad незалежно від стану їх прошивки (зламана вона чи ні), був виявлений в 2014 р Знайшли його фахівці цієї ж компанії - Palo Alto Networks. Однією з відмінностей нового вірусу від попередніх є те, що всі попередні віруси для проникнення на iOS-пристрої використовували корпоративні сертифікати.