Het is kwaadwillenden gelukt om zeven keer Apple te misleiden en een kwaadaardige app of een update daarvan in de App Store geplaatst te krijgen.

Ze omzeilden de beveiliging door zich te vermommen als een reguliere app voor het downloaden van wallpapers.

Bij het opstarten legt de app contact met een server in China, die vervolgens een cijfer terugstuurt. Stuurt de server een '1' terug, dan komt een wallpaper-app tevoorschijn, bij een '0' komt een eigen downloadwinkel tevoorschijn die probeert gebruikersnaam en wachtwoord van het Apple-ID van de gebruiker te ontfutselen, schrijft beveiligingsbedrijf Palo Alto Networks. Het bedrijf noemt de malware AceDeceiver.

Dat Apple niet gemerkt heeft dat het om malware ging, kwam vermoedelijk doordat de ontwikkelaars ervoor zorgden dat de app in de reviewperiode alleen de keurige wallpaper-app lieten zien. De server geeft alleen toestemming om de downloadwinkel te tonen bij ip-adressen uit China. Bovendien checkt de server welk apparaat het is. Als het apparaat zich eerder buiten China bevond, krijgt de gebruiker de downloadwinkel ook niet te zien.

In totaal kregen de ontwikkelaars drie apps in de App Store en die hebben in totaal vier updates gehad, waardoor de onbekenden zeven keer Apples controleurs van apps hebben misleid. Wat de apps lastig te ontdekken maakte, is dat ze verkrijgbaar waren in slechts een paar landen. Een van de apps stond alleen in de App Store in Hongkong en Nieuw-Zeeland, een andere alleen in de Verenigde Staten. Bovendien werd de malware niet actief in die landen, maar de criminelen hadden het alleen gemunt op Chinese gebruikers.

Met de vermelding in de App Store kregen de criminelen de app zonder enterprise certificate op niet-gejailbreakte iPhones via desktopsoftware. Het gebruikt daarvoor een desktopprogramma met de naam ”爱思助手, wat Palo Alto vertaalt als Aisi Helper. Met behulp van een al bekende kwetsbaarheid in Apples FairPlay-drm installeert die software een AceDeceiver-app op een iOS-apparaat zonder dat het daarvoor toestemming vraagt. Daarvoor hebben de kwaadwillenden delen van iTunes moeten reverse engineeren. Doordat de apps in de App Store hebben gestaan, kan de server van de onbekende ontwikkelaars authenticatie geven voor het installeren van de kwaadaardige app.

Na de melding van Palo Alto heeft Apple binnen een dag de betreffende apps uit de App Store gehaald. Via de desktopsoftware Aisi Helper is verdere verspreiding van AceDeceiver nog steeds mogelijk. Het is onbekend hoeveel gebruikers hun gebruikersnamen en wachtwoorden hebben ingevuld in de app.

Het is niet voor het eerst dat er malware verschijnt in de App Store. In september vorig jaar kwamen tientallen apps met malware in Apples downloadwinkel door een besmette versie van ontwikkelaarsprogramma Xcode. Enkele maanden daarvoor lukte het onderzoekers om malware in de App Store te krijgen.