Китайские разработчики занимаются распространением приложения 开心日常英语 (Happy Daily English) через официальный iOS App Store. Внутри Happy Daily English находится полноценный нелегальный магазин приложений.
Существует два варианта работы Happy Daily English. В том случае, если пользователь не находится на территории Китая, то он имеет дело с обычным приложением для изучения английского языка. Однако если пользователь находится в Китае, то Happy Daily English превращается в полноценный App Store, позволяющий без джейлбрейка производить установку на смартфон пиратских и взломанных приложений. У пользователя при этом нет необходимости в осуществлении сложных манипуляций и взаимодействии с посторонними ресурсами. Всего нелегальный магазин занимается распространением свыше 50 приложений.
Приложению удалось успешно пройти все официальные проверки и попасть в официальный App Store 30 октября минувшего года. Happy Daily English получил множество положительных отзывов от пользователей за пределами Китая. Однако 19 февраля текущего года эксперты компании Palo Alto Networks заметили кое-что необычное.
По словам специалистов, для прохождения всех проверок в официальном магазине приложение маскировалось с большой тщательностью. Лишь при обнаружении пользователя из Китая Happy Daily English предлагало совершенно другой интерфейс и возможность загрузки дополнительных приложений. Эксперты назвали программу ZergHelper и отметили, что данное приложение задействует принципиально новые техники. Так, ZergHelper пользуется облеченной версией Windows-клиента iTunes, чтобы дать человеку возможность пройти авторизацию, приобретать и загружать пиратские программы.
Кроме того, разработчиками применяются некоторые функции Xcode IDE для того, чтобы автоматическая генерация личных сертификатов осуществлялась прямо на серверах Apple. После данные сертификаты используются для подписания приложений из подпольного магазина. Специалисты Palo Alto Networks считают, что, вероятнее всего, создатели ZergHelper детально проанализировали Xcode для воспроизведения его работы, чтобы таким образом обмануть серверы Apple.
Программа ZergHelper отправляла пользователю повторный запрос для ввода Apple ID, чтобы создавать подобные личные сертификаты на имя самого пользователя. Иногда приложение предлагало воспользоваться готовыми Apple ID, видимо, похищенными ранее у других владельцев смартфонов.
ZergHelper создан с использованием языка Lua, вследствие чего его создатели могли постоянно обновлять приложение, обходя официальные каналы Apple.
Приложение было удалено из iOS App Store после того, как эксперты Palo Alto Networks проинформировали Apple о ситуации. По словам исследователей, они не обнаружили какого-либо вредоносного функционала, потому охарактеризовали ZergHelper как потенциально опасную программу.
