На сегодняшний день свыше 75 млн iOS-устройств заражены рекламным ПО, которое распространяется китайским магазином приложений Haima. Сервис получил популярность благодаря тому, что дает возможность владельцам устройств от Apple устанавливать программы из неофициальных источников.
Эксперты из Trend Micro сообщили, что данный сервис использует технику загрузки неопубликованных приложений side-loading, благодаря которой у пользователей есть возможность загружать программы неофициально.
Компания Apple также поддерживает side-loading, но только для корпоративного рынка. В таком разрезе целью является обеспечение сотрудников частных фирм возможностью пользоваться в своей работе кастомизированными приложениями, которых в App Store нет. В основном, такие программы содержат корпоративные данные, что дает Apple определенные преимущества, ведь тогда ее устройства используются сотрудниками непосредственно на рабочих местах.
Сервис Haima применяет side-loading с целью распространения рекламного ПО. Примечательно, что процесс установки приложений очень сложный и базируется на выпущенных Apple корпоративных сертификатах. Зачастую, благодаря применяемым мошенниками методам социальной инженерии, пользователи проходят всю процедуру.
Так как Apple систематически блокирует поддельные сертификаты, Haima каждые три дня переключается с одного корпоративного сертификата на другой. Это похищенные сертификаты, которые злоумышленники покупают на подпольных хакерских форумах по цене $300 за штуку.
Все распространяемые с помощью Haima приложения содержат динамический код, который отвечает за отображение рекламы, как правило от Inmobi, Mobvista, Adsailer, Chance, Baidu и DianRu. Согласно данным Trend Micro, на сегодня из Haima было загружено порядка 75 млн приложений. Более 68,87 млн пользователей предпочли модифицированную версию Minecraft Pocket Edition, свыше 6 млн – Terraria и 1 млн – Pokemon GO.
Источник http://www.securitylab.ru/
