По словам экспертов Trend Micro, более 75 миллионов iOS-устройств инфицированы рекламным программным обеспечением, которое распространяется через китайский магазин приложений Haima. В сервисе используется техника загрузки неопубликованных приложений (side-loading), которая позволяет владельцам iOS-устройств осуществлять установку программ из неофициальных источников.
Технология side-loading применяется для того, чтобы давать сотрудникам частных компаний возможность пользоваться нужными для работы кастомизированными приложениями, отсутствующими в App Store. Обычно в подобных программах содержится корпоративная информация, поэтому Apple лишь в выигрыше от поддержки side-loading, так как сотрудники предприятий могут использовать iOS-устройства на рабочих местах.
Китайский сервис Haima пользуется side-loading для того, чтобы распространять рекламное программное обеспечение. Процесс инсталляции приложений является крайне сложным. Он основан на корпоративных сертификатах от Apple. Обычно злоумышленники с помощью социальной инженерии вынуждают пользователей пройти всю процедуру.
Сервис Haima меняет один корпоративный сертификат на другой каждые три дня, так как Apple регулярно осуществляет их блокировку. Обычно киберпреступники покупают украденные сертификаты на подпольных сайтах. В среднем стоимость одного такого сертификата достигает 300 долларов.
По словам экспертов Trend Micro, во всех приложениях, распространяемых через Haima, присутствует динамический код, который отвечает за демонстрацию рекламных объявлений. В случае с приложениями типа Pokemon GO этот код может внедрять фальшивые данные GPS, что позволяет пользователям играть даже в неподдерживаемых регионах. По мнению экспертов, процедура внедрения не является автоматизированной, и разработчики выполняют ее вручную.
Как сообщает Trend Micro, всего из Haima загружено 75 миллионов приложений.
