Palo ALto Networks tuyên bố họ tìm ra một Trojan cho phép khai thác các lỗi trong hệ thống DRM của Apple mà không đụng chạm đến chứng chỉ của máy. Trojan này được đặt tên là “AceDeceiver” và hiện chỉ hoạt động nếu máy nằm trong phạm vi Trung Quốc.
Cơ chế hoạt động của malware này khá phức tạp. Theo Palo Alto Networks, AceDeceiver dùng một thủ thuật tên là FairPlay Man-in-the-Middle, cho phép các hacker mua ứng dụng và lưu những mã trên một thiết bị iOS. Những người tải về phần mềm AiSiHelper, một chương trình giả mạo iTunes sẽ khiến máy tính bị nhiễm virus. Khi họ kết nối thiết bị iOS, các hacker có thể gửi mã cho phép đến người dùng, khiến họ tin rằng ứng dụng đã được mua, và dụ họ tải nó về.
Cơ chế tấn công của AceDeveiver. Ảnh:
Palo Alto Networks. |
Khi tải về, ứng dụng này sẽ trộm tài khoản Apple của chủ máy và gửi về cho hacker.
Palo Alto Networks cho rằng phương pháp này từng được dùng để tải lậu ứng dụng trước đây, nhưng đây là lần đầu tiên FairPlay MITM bị dùng cho mục đích xấu. Họ cũng nói rằng phương pháp này là khá đơn giản, và rất dễ được các hacker khác bắt chước. AceDeceiver cũng có thể đổi vị trí tấn công sang các máy ở ngoài khu vực Trung Quốc, dù rằng công ty này nói các hoạt động được giới hạn trong khu vực sẽ khiến Apple và các công ty bảo mật khác khó phát hiện ra hơn.
Palo Alto Networks nói họ đã thông báo đến Apple thông tin trên vào cuối tháng 2, và ứng dụng AceDecevier cũng đã được xóa bỏ trên App Store.