AceDeceiver
Los usuarios de iPhone suelen considerar sus teléfonos como fortalezas impenetrables que Apple ha construido para ellos: se dice que los iPhones son seguros, especialmente cuando se comparan con los dispositivos Android. Sí, realmente los iPhones son más seguros que los teléfonos Android, pero eso no significa que sean totalmente seguros. No existen las fortalezas impenetrables.
Ya hemos hablado anteriormente de no solo una, sino varias amenazas de iOS y hemos dado consejos sobre la seguridad para dispositivos de Apple. Sin embargo, el malware para iOS continúa emergiendo y el ejemplo más reciente, descubierto por Palo Alto Networks, parece ser uno de los más peligrosos hasta el momento.
¿Por qué? Porque no se requiere haber hecho jailbreak en ninguno de tus dispositivos iOS, ni utilizar un certificado corporativo robado para instalar un software malicioso. Esta nueva familia de malware se llama AceDeceiver y es capaz de infectar prácticamente cualquier dispositivo iOS.
Las buenas intenciones
Todo comenzó con la novedosa idea que alguien tuvo de no pagar por lo que uno quiere. En este caso, se ideó un método de ataque para piratear las apps de iOS: el llamado ataque FairPlay Man-in-the-Middle. En este post encontrarás más información sobre el concepto de ataque Man-in-the-Middle. Ahora preferimos concentrarnos en lo que es FairPlay y cómo funciona realmente AceDeceiver.
Trojan Exploits Apple DRM Flaw, Plants #Malware On Non-Jailbroken #iOS Devices: https://t.co/n5MHIRbOn7 pic.twitter.com/SluytGnjmJ
— Kaspersky Lab (@kaspersky) March 16, 2016
FairPlay es la protección DRM (Gestión Digital de Derechos) que utiliza Apple tanto para la música y los vídeos, como para sus apps. Probablemente ya sabes que los usuarios de iPhone pueden comprar apps en iTunes desde su ordenador y luego transferirlas a sus teléfonos. Claro está, esto requiere la comprobación de que el usuario realmente ha hecho una compra. Como prueba de ello, iTunes genera un código de autorización para cada aplicación. Así es como funciona FairPlay.
El problema es que el código siempre es el mismo para cada aplicación, por lo tanto, si logras interceptarlo, puedes utilizarlo para descargar la misma aplicación en innumerables iPhones y iPads. Básicamente, así es cómo funciona FairPlay Man-in-the-Middle.
La aplicación con dos caras
Finalmente, el método evolucionó hasta llegar a ser una app store pirata. Se basó en un programa de Windows llamado Aisi Helper, que inicialmente era utilizado para hacer jailbreak a iPhones, crear copias de seguridad y reinstalar iOS. Después, se añadió una nueva función a esta herramienta: comenzó a inyectar una app con el mismo nombre a cualquier iPhone conectado a un ordenador que tuviera el programa de Aisi Helper instalado. La app mostraba un montón de apps piratas que los usuarios descargaban gratuitamente.
10 consejos para hacer tu #iPhone aún más seguro https://t.co/mNzbAb91M1 #ciberseguridad pic.twitter.com/P57OmqFKH5
— Kaspersky Lab España (@KasperskyES) March 21, 2016
Curiosamente, la aplicación Aisi Helper se instalaba en los iPhones utilizando la misma técnica de FairPlay Man-in-the-Middle. Por eso, para inyectar el Aisi Helper a los iPhones, los creadores primero necesitaban subirla a la App Store y obtener el código de autenticación legítimo para esta app. Sin embargo, a Apple no le gustan las tiendas de apps piratas dentro de su App Store.
Para seducir a los revisores de códigos de Apple, Aisi Helper se hacía pasar por una aburrida e inofensiva aplicación gratuita de fondos de pantalla. Para asegurarse de que no se revelara la verdad, los criminales utilizaron un doble truco. Por un lado, cuando se lanzó por primera vez, la app revisaba la ubicación del teléfono y, si no estaba en China, solo mostraba fondos de pantalla (y así lo ha hecho desde entonces).
Así que, para ver la verdadera interfaz de la tienda pirata, los revisores de códigos de la App Store de Estados Unidos, al igual que cualquier otro usuario, tendrían que estar en China, lo cual es poco probable. Este es el motivo por el que nadie se dio cuenta antes de que la app era algo más que otra colección de fondos de pantalla.
Chinese Mobile Ad Library Backdoored to Spy on iOS Devices: https://t.co/1kpMrH8HJC via @thretapost pic.twitter.com/0I1RTUEWln
— Kaspersky Lab (@kaspersky) November 4, 2015
Ahora, Apple ha eliminado todas las versiones de la app de Aisi Helper de la App Store. Pero eso no significa que sea el fin de este malware. Para poder aplicar un ataque de FairPlay Man-in-the-Middle, no se necesita tener la app en la App Store. El requisito es que ya haya estado antes. Y, esto se cumple al 100 % en el caso de esta aplicación pirata de fondos de pantalla Aisi Helper.
El juego sucio
Entonces, ¿qué hay de malo con la app store pirata además de las cuestiones morales que plantea? Vale, si alguien te dice algo como: “He robado esto y ahora te lo voy a dar gratis”, no le creas. Nunca. Hay una probabilidad del 99,9 % de que te estén engañando.
Y ese es exactamente el caso de esta app. Estas aplicaciones fueron inofensivas para sus usuarios durante un tiempo. Pero, llegados a cierto punto, estas aplicaciones empezaron a pedirles sus datos de acceso como el ID de Apple y la contraseña “para acceder a más funciones”. Después de eso, se subían las credenciales al servidor de comando de AceDeceiver.
Siete aplicaciones de iPhone para tu seguridad http://t.co/92xsFv6Yrn #iPhone #apps #seguridad
— Kaspersky Lab España (@KasperskyES) May 16, 2014
Creo que ya ha quedado claro por qué estamos hablando de AceDeceiver en el blog de Kaspersky Daily. Este error en la seguridad de FairPlay sigue sin estar parcheado. Y aunque lo estuviera, probablemente la versión anterior del sistema operativo sigue siendo vulnerable al mismo ataque.
Vale, ¿cómo me protejo?
La buena noticia es que este ataque en particular no tiene como objetivo ningún lugar fuera de la China continental. La mala noticia es que, es fácil que los criminales exploten esta vulnerabilidad una vez más y que creen un nuevo malware con otros países en el punto de mira, causando aún más daño. Independientemente de si vives en China o no, te sugerimos hacer lo siguiente:
- No intentes hacer jailbreak a tu iPhone. Nunca ha sido seguro hacerlo, como puedes ver, el mismo software dice que no es seguro aplicar esta operación.
Cómo afecta a la seguridad hacer root o jailbreak en tu smartphone http://t.co/1xVeA25dZM #seguridad #android #iPhone
— Kaspersky Lab España (@KasperskyES) June 3, 2013
2. Siempre aconsejamos seguir esta regla en Google Play, pero también es aplicable a la App Store: presta atención a las aplicaciones que instalas. Los creadores de AceDeceiver han comprobado que las revisiones de códigos pueden ser evitadas con ciertos trucos. Por desgracia, iOS no permite el software de antivirus, así que una vez que el malware logra introducirse en el sistema, tienes un problema.
3. Afortunadamente, puedes proteger tus otros dispositivos. Asegúrate de contar con buenas soluciones de seguridad. En esta situación, un software de antivirus en este PC hubiese podido detectar a Aisi Helper como el malicioso AceDeceiver.
