Mã độc AceDeceiver mới tấn công iPhone

14:45 | 31/03/2016

Mới đây đã xuất hiện loạt mã độc AceDeceiver mới, gây nguy cơ lớn cho các thiết bị sử dụng hệ điều hành iOS chưa jailbreak (các thiết bị chỉ cài được các ứng dụng có nguồn gốc từ App Store) mà không cần xác nhận của người dùng.

AceDecevier về cơ bản khác với các phần mềm độc hại iOS gần đây, bởi nó dựa vào việc khai thác lỗ hổng trong phần mềm bảo vệ tác quyền số DRM của Apple. Chúng là phần mềm độc hại đầu tiên trên iOS khai thác lỗ hổng trong FairPlay (hệ thống bảo vệ DRM của Apple) để cài các ứng dụng độc hại trên thiết bị iOS bất kể chúng có được jailbrake hay không.



Kỹ thuật hack trong AceDeceiver là tấn công người đứng giữa kiểu FairPlay (FairPlay Man In The Middle), đã được sử dụng để phát tán các ứng dụng iOS bất hợp pháp từ năm 2013. Đây là lần đầu tiên nó được sử dụng để phát tán phần mềm độc hại. Kỹ thuật này hoạt động như sau: Apple cho phép mua và cài app iOS ngay từ iTunes trên máy tính. Trong quá trình cài, với mỗi ứng dụng thiết bị iOS sẽ yêu cầu một mã xác thực để chứng minh rằng ứng dụng đó thật sự đã được mua qua iTunes. Mã này thường được iTunes liên hệ với App Store để lấy về. Nhưng khi iTunes nhận mã từ App Store, kỹ thuật FairPlay sẽ dùng một phần mềm trên máy tính để can thiệp vào quy trình xác thực này và lưu lại các mã hợp lệ. Sau đó, các mã này sẽ được dùng cho các phần mềm bất hợp pháp để đánh lừa thiết bị iOS rằng nó đang cài một ứng dụng đã được mua một cách bình thường. 

Nhóm phát triển AceDeceiver cũng sử dụng kỹ thuật tương tự, nhưng thay vì sử dụng phần mềm can thiệp iTunes thông thường, họ dùng một công cụ tên là Aisi Helper Windows. Phần mềm này chạy trên Windows và nó giả mạo như là một công cụ giúp dọn dẹp và quản lý iPhone, tuy nhiên các nhóm này đã điều chỉnh để nó âm thầm tải xuống ứng dụng có mã độc từ App Store rồi cài vào máy của người dùng. 

Do không có bất kỳ thao tác xác nhận nào hiện lên màn hình, nên người dùng sẽ không biết gì về việc bị cài lén. Mã xác thực mà Aisi Helper Windows sử dụng đã được các hacker lấy sẵn nhờ việc tải ứng dụng của mình lên App Store và qua mặt được đội ngũ kiểm duyệt của Apple. Đã có ba ứng dụng dạng khác nhau của AceDeceive được tải lên App Store từ giữa tháng 7/2015 và tháng 02/2016 với tên gọi là ứng dụng nền. 

Theo hãng bảo mật Palo Alto, các dạng AceDecevier đã thành công trong việc bỏ qua quá trình xem xét mã của Apple ít nhất bảy lần. Thành công của AceDeceive đã đưa ra bằng chứng về việc tin tặc đã phát triển được kỹ thuật để bỏ qua quá trình xem xét mã của Apple và đưa được các ứng dụng độc hại vào App Store. Mặc dù Apple đã loại bỏ AceDeceiver từ cửa hàng ứng dụng của mình nhưng các phần mềm độc hại này vẫn có thể lây lan.

Hiện tại AceDeceive mới chỉ gây nguy hiểm cho những người dùng tại Trung Quốc, nhưng điều này có thể sẽ thay đổi trong tương lai. Các chuyên gia khuyên cáo người dùng không nên cài Aisi Helper Windows cũng như không cố gắng cài các ứng dụng bất hợp pháp. Vụ việc này cũng cho thấy đội ngũ kiểm tra mã nguồn của App Store làm việc chưathật chặt chẽ và họ cần phải kiểm tra kỹ hơn nữa để dò ra những mã độc dạng này.