Onderzoekers hebben in de officiële App Store van Apple nieuwe iOS-malware ontdekt die iPhones en iPads op een geheel nieuwe manier kan infecteren. AceDeceiver, zoals de malware wordt genoemd, gebruikt namelijk ontwerpfouten in de FairPlay drm-kopieerbeveiliging van Apple om kwaadaardige apps via malware op de computer op iOS-toestellen te installeren, ongeacht of het toestel is gejailbreakt of niet.

De techniek om dit te doen wordt al sinds 2013 toegepast voor de verspreiding van illegale apps, maar het is de eerste keer dat het gebruikt wordt voor de verspreiding van malware, zo meldt beveiligingsbedrijf Palo Alto Networks.

App Store en iTunes

Via iTunes op een computer is het mogelijk om iOS-apps in de App Store te kopen. Gebruikers kunnen de apps vervolgens via hun computer op het iOS-toestel installeren. In dit geval zal het iOS-toestel voor de installatie van de app om een autorisatiecode vragen, als bewijs dat de app echt is aangeschaft. Bij de nu ontdekte aanval wordt er een programma genaamd 'Aisi Helper' voor de computer gebruikt dat zich voordoet als een handige tool voor iOS-toestellen. In werkelijkheid gaat het om malware en installeert het programma kwaadaardig apps op het aangesloten iOS-toestel.

Hiervoor wordt een man-the-middle-aanval gebruikt, waarbij de aanvaller een app in de App Store koopt en vervolgens de autorisatiecode onderschept. Via Aisi Helper, dat iTunes simuleert, wordt de autorisatiecode gebruikt om een kwaadaardige app uit de App Store op het toestel te installeren. Het gaat om een app die zich voordoet als een wallpaper. De kwaadaardige iOS-app bevat een verbinding naar een onofficiële app store waar iOS-apps en games kunnen worden gedownload. Gebruikers krijgen daarnaast het verzoek om voor meer features hun Apple ID en wachtwoord in te voeren.

App Store

De kwaadaardige apps zouden tussen juli 2015 en eind februari 2016 in de officiële App Store zijn geplaatst. Alle apps deden zich voor als wallpaper en wisten de controle van Apple tenminste zeven keer te omzeilen. Om dit te doen wordt de werking van de app gebaseerd op de locatie. In het geval van AceDeceiver vertoonden de apps het kwaadaardige gedrag alleen als de gebruiker zich fysiek in China bevond. De apps zijn inmiddels door Apple verwijderd.

Palo Alto Networks waarschuwt dat de aanval nog steeds kan worden uitgevoerd, aangezien de kwaadaardige apps slechts één keer in de App Store beschikbaar moesten zijn. Zolang de aanvaller een kopie van de autorisatiecode van Apple weet te krijgen, hoeven de kwaadaardige apps niet in de App Store aanwezig te zijn om die op een iOS-toestel te installeren. Wel moeten eigenaren van een iOS-toestel het Aisi Helper-programma op hun computer installeren en hun iPhone of iPad aansluiten.

Vooralsnog richt AceDeceiver zich alleen op gebruikers in China. Het beveiligingsbedrijf waarschuwt dat het hier echter om een relatief eenvoudige manier gaat om niet gejailbreakte iOS-toestellen te infecteren en het is de verwachting dat aanvallers die ook in andere gebieden zullen toepassen. Apple heeft het probleem nog niet gepatcht.