Правила предварительного модерирования приложений в App Store долгое время заставляли считать магазин Apple неприступной крепостью, особенно на фоне ситуации, в которой оказался Google Play. Правда, в сентябре уже был неприятный звоночек, но в той атаке были задействованы уже существующие популярные приложения, что, видимо, ослабило бдительность цензоров.

На этот раз стало известно сразу о трех попавших в App Store троянах семейства AceDeceiver, впервые использующих для своего распространения технику «FairPlay Man-In-The-Middle» (до сих пор она активно применялась для установки пиратских приложений на iOS-устройства без джейлбрейка). Что любопытно, все трояны прикидывались сборниками обоев и неоднократно проходили модерацию Apple. Причем, как отмечает Bugtraq, сам факт их удаления из App Store уже никак не влияет на возможность проведения атаки – достаточно того, что они уже там побывали.

Идея атаки основана на перехвате запросов FairPlay, которые позволяют покупать приложения из App Store в настольной версии iTunes. Полученный код авторизации затем передается на устройство для подтверждения факта покупки. При проведении атаки полученный код используется дополнительным клиентским приложением, имитирующим поведение iTunes, которое позволяет обмануть подключенное iOS-устройство и установить на него любое приложение без ведома пользователя.

В данном случае роль вспомогательного приложения играл Aisi Helper, популярный китайский клиент, обеспечивающий управление iOS-устройствами, джейлбрейк, резервное копирование, а также установку пиратских приложений из неофициального магазина приложений даже на устройства без джейлбрейка.

Троян AceDeciver мог работать и как сборник обоев, и как клиент стороннего App Store. В последнем случае он активно выманивал пользовательские Apple ID с паролями и отправлял данные на сервер создателей. Слабым утешением может служить то, что в данном конкретном случае атакующий режим включался только для пользователей из континентального Китая.