Сентябрь 7th, 2014 
admin На днях у пользователей iOS появилась еще одна причина не осуществлять джейлбрейк своих устройств – было обнаружено китайское вредоносное приложение AdThief, уже загруженное на 75000 iPhone.
Вредоносная программа, также известная как Spad, похищает доход от рекламы и перенаправляет его злоумышленнику.
Всякий раз, когда пользователь просматривает рекламное объявление или кликает по нему, соответствующий разработчик приложения или партнер получает небольшую выплату, которую рекламодатели называют “ценой за тысячу показов” (CPM) или “кликабельностью” (CTR).
Рекламные наборы идентифицируют разработчиков и партнеров по идентификатору разработчика, так что они получают выплату, когда соответствующие рекламные объявления просматриваются или нажимаются.
AdThief для iOS модифицирует указанный идентификатор разработчика, заменяя его на идентификатор, принадлежащий злоумышленнику. Следовательно, доход похищается, так как весь доход, генерируемый при просмотре или нажатии рекламного объявления, приписывается идентификатору злоумышленника. На работе смартфона это никак не сказывается, но есть вирусы, которые могут испортить заводскую прошивку и тогда потребуется ремонт девайса. В Москве ремонтом iPhone 5S занимается сервисный центр masterovik-sotovik.ru.
С целью изменения идентификатора разработчика автор вредоносного приложения реализует перехватчик для каждого из рекламных наборов, которые он желает захватить, где он заменяет идентификатор разработчика. Для этого он использует существующую платформу для перехвата процессов, Substrate, имеющуюся на разлоченных устройствах.
Данная платформа является расширением “Cydia Substrate”. “Cydia Substrate, работающая только на разлоченных устройствах, является платформой для изменения существующих процессов.
Она предоставляет API для перехвата легитимных функций, и в нее можно добавлять собственные изменения. Вредоносная программа действует именно так: она перехватывает различные функции рекламы и изменяет идентификатор разработчика (иначе называемый рекламным идентификатором) на идентификатор злоумышленника.
Большинство из 15 рекламных наборов, интересующих вредоносную программу, является китайскими, хотя 4 являются американскими – в том числе Google AdMob, а 2 - индийскими. После анализа отладочной информации, случайно оставленной во вредоносном приложении, Apvrille удалось найти ее автора - “Rover12421”.
Он заявил, что давным-давно работал над ‘spad’, что это был его единственный проект под iOS, и что сейчас он закрыт. Ответы автора не очень отчетливы, но похоже, что он написал лишь простой плагин замены рекламного идентификатора, а кто-то другой усовершенствовал код. Он отрицает участие в распространении вредоносной программы.
Ее распространение привело к заражению 75000 устройств и краже дохода от 22 миллионов рекламных объявлений.
AdThief в действительности впервые был обнаружен исследователем Клаудом Сяо ранее в этом году, но в том момент о нем мало говорилось.
Опубликовано в рубрике