Foi descoberto um novo malware para iOS que pode afetar “qualquer dispositivo”, mesmo os sem jailbroken, segundo um relatório da Palo Alto Networks. Chamado de AceDeceiver(1), esse malware explora uma vulnerabilidade no mecanismo Digital Rights Management (DRM) da Apple, uma técnica que é diferente do malware anterior para iOS conhecido que abusa de certificados de empresas para infectar dispositivos não modificados.
(1) Trend Micro detecta o arquivo executável Windows como TROJ_ACEDECEIVER.A e detecta o malware iOS como IOS_AceDeceiver.A
O que ele faz e como funciona? Esse malware abusa de falhas de projeto do mecanismo de proteção de DRM da Apple, chamado Fairplay. Essa técnica chamada de “FairPlay Man-in-the-Middle”, permite que os agressores instalem aplicativos maliciosos em dispositivos iOS sem a necessidade de passar pelas medidas de segurança da Apple.
Um exemplo de cenário: um usuário compra e baixa da App Store através do cliente iTunes sendo executado em um computador. De lá, o computador é usado para instalar o aplicativo em seus dispositivos iOS conectados ao iTunes – mas apenas depois que o próprio dispositivo iOS recebe um código de autorização provando que foi comprado de fato.
Porém, no FairPlay MITM, o código de autorização é salvo e usado junto com uma outra aplicação clone do iTunes para “enganar” seus dispositivos Apple, fazendo-os acreditarem que compraram esse aplicativo de forma legítima e assim, podendo instalá-lo em seu dispositivo sem pagar.
A parte maliciosa acontece quando o autor do clone do iTunes faz isso para que o programa também use o FairPlay MITM para instalar aplicativos maliciosos nos telefones de seus clientes sem seu conhecimento. E foi isso que aconteceu, com o clone do iTunes de outro grupo (chamado de Aisi Helper) forçando aplicativos maliciosos (especificamente a família de aplicativos do AceDeceiver) nos telefones dos usuários.
Esses aplicativos então se conectam a outras lojas de aplicativos, controladas pelo autor, onde o usuário pode baixar aplicativos iOS ou jogos, em troca de informações pessoais como Apple IDs e senhas (roubo de informação). O usuário depois é bombardeado com ofertas para revelar mais informações em troca de mais recursos e aplicativos.
A Apple foi notificada sobre essa ameaça e removeu os aplicativos AceDeceiver de sua loja, mas a vulnerabilidade está lá, principalmente para usuários da China continental: foi relatado que os aplicativos apenas realizam rotinas maliciosas se o usuário é detectado na China continental. Embora isso possa ser contornado por meio de configurações regionais, o fato de que ele funciona mostra que mesmo dispositivos iOS não modificados podem facilmente ser afetados, independentemente da região.
Esse incidente deve lembrar mais uma vez aos usuários de que apesar da abordagem walled garden da Apple funcionar na maioria das vezes, não é infalível – os usuários devem tomar suas próprias medidas para se proteger completamente contra essas ameaças. Uma maneira de fazer isso, claro, é simplesmente usar serviços/softwares oficiais quando se trata de gerenciamento de dispositivo e não recorrer a qualquer coisa vinda de terceiros ou criada por fãs.
