Author:360NirvanTeam

原文引用自 http://researchcenter.paloaltonetworks.com/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drm-design-flaws-to-infect-any-ios-device/

0x00 前言

---

安全公司 palo alto networks 於3月17日發表了 《AceDeceiver：第一款利用DRM設計缺陷感染任何iOS裝置的iOS木馬》，利用蘋果DRM系統設計漏洞傳播惡意程式，竊取蘋果使用者的敏感資訊，安全研究人員建議使用者立即解除安裝電腦和手機上安裝的愛思助手及其安裝的所有iOS應用。

0x01 AceDeceiver 簡介

---

它是第一款利用DRM設計缺陷感染任何iOS裝置的iOS木馬。研究人員將該惡意程式家族命名為AceDeceiver，它利用了蘋果DRM保護機制 FairPlay的設計漏洞在iOS裝置上安裝惡意程式，利用該漏洞的攻擊方法被稱為FairPlay中間人攻擊，早在2013年就已被利用傳播盜版iOS應用。

FairPlay是蘋果建立的DRM技術，用來保護數字版權。每一個新的客戶使用的iTunes購買時都會生成一個新的隨機使用者金鑰和用於加密的主金鑰。隨機使用者金鑰連同賬戶資訊儲存在蘋果的伺服器上同時傳送到iTunes。iTunes再用自己的金鑰去儲存這些金鑰。使用該金鑰資訊庫iTunes是能夠檢索解密的主金鑰所需要的使用者金鑰。

當使用者授權一臺新電腦，iTunes會傳送一個唯一機器識別符號到蘋果的伺服器，接收儲存與該帳戶資訊的所有使用者金鑰。這保證了蘋果能夠限制被授權的計算機的數量，並確保每個授權計算機的購買記錄。

在授權的關鍵一步是連線的iOS裝置傳送 afsync.rq 和 afsync.rq.sig給PC端，然後itunes會返回正確的afsync.rs 和 afsync.rs.sig檔案給iOS裝置，檔案正確後才會解開DRM保護安裝App。

愛思助手透過實現模擬客戶端的iTunes行為，模仿iTunes和iOS裝置通訊對使用者的裝置進行欺騙，使用者可以安裝他們從來沒有實際支付的應用，以及軟體的建立者可以在使用者不知情的情況下安裝潛在惡意應用程式。

攻擊流程如下圖：

透過模擬iTunes 的中間人客戶端，對使用者進行攻擊，攻擊包括安裝惡意App，盜取Apple id 賬戶資訊等。

0x02 盜取App 賬戶密碼

---

如果使用者從中國訪問作為第三方的應用程式商店的AceDeceiver上的iOS應用。，一些在商店所提供的應用程式或遊戲也是透過FairPlay的MITM攻擊安裝的。此外，這些應用建議使用者輸入自己的Apple ID，密碼，使使用者可以“從App Store直接安裝免費應用程式，應用程式購買，登入遊戲中心”。

下圖是 愛思助手提示使用者輸入自己的Apple id 密碼等。

當使用者輸入資訊後會將加密的Apple ID和密碼傳送回AceDeceiver的C2的伺服器的“http://buy.app.i4[.]cn”,如下圖如示。

0x03 透過愛思助手傳播

---

“愛思助手 (Aisi Helper)” 這款Windows 客戶端是位於中國深圳的一家公司開發的，研究者與2016年2月的調查，愛思助手的Windows或iOS從官方網站下載客戶端包含的AceDeceiver木馬。

並且公司網站的法律公告上寫著與個人資料洩露，丟失，被呼叫或篡改等不負任何責任。 如下圖：

0x04 躲避App Store檢查

---

愛思助手主要分為愛思助手iOS版，愛思助手Windwos版。

愛思助手一開始沒有表現出惡意行為，到2014年12月它積累了超過1500萬使用者，2015年3月它嵌入的iOS版加入了密碼竊取功能，它會自動在連線到PC上的iOS裝置上安裝惡意應用。

愛思助手iOS 版偽裝成牆紙應用透過了蘋果的審查，研究人員發現“AceDeceiver iOS App”在2015年7月到2016年2月之間就有上傳到官方應用商店。透過對惡意程式指令控制中心(C2)的分析發現，AceDeceiver非常具有欺騙性，能在應用審查期間關閉惡意功能，而惡意功能只面向中國IP地址開放。

0x05 如何處理

---

為了使用者的敏感資訊不被竊取，安全研究人員建議使用者立即解除安裝電腦和手機上安裝的愛思助手及其安裝的所有iOS應用。