По информации, имеющейся у компании Palo Alto Networks, с помощью вредоносного программного обеспечения, получившего название KeyRaider, были украдены учетные записи более 225 тысяч устройств на базе iOS с джейлбрейком.
Вредоносная программа позволяет осуществлять загрузку приложений из Интернет-магазина App Store, причем пользователю не нужно производить оплату загруженного приложения или волноваться из-за возможной блокировки мобильного устройства. Как утверждают специалисты, киберкампания с применением KeyRaider – одна из самых масштабных по количеству украденных аккаунтов пользователей продукции Apple.
Как уже сообщалось ранее, злоумышленникам удалось скомпрометировать 220 тысяч аккаунтов Apple ID, используя вредоносную программу, замаскированную под джейлбрейк-твик. Злоумышленники активно пользуются бэкдорами в неофициальных приложениях, чтобы получить доступ к пользовательской информации. Теперь в распоряжении экспертов есть больше сведений о данной вредоносной программе.
Подозрительная активность вредоносной программы впервые была замечена студентом из университета в китайском городе Ханчжоу, участником любительской технической группы WeipTech. На форуме Weiphone KeyRaider предложили в качестве твика для устройств с джейлбрейком. Пользователь под ником mischa07 подозревается специалистами в распространении вредоноса. Именно этот псевдоним был закодирован в KeyRaider в качестве ключа шифрования и дешифрования программы. В результате проведенного анализа репозитория mischa07 оказалось, что этим пользователем на Weiphone было загружено большое количество твиков, которые дают возможность мошенничать в играх, проводить перенастройку системы.
KeyRaider распространяется через сервис Cydia, который был создан для загрузки приложений для взломанных iPhone и iPad. Вредоносная программа дает возможность осуществлять перехват трафика iTunes и похищать персональные данные пользователей, личные ключи и сертификаты. KeyRaider также использовался в качестве программы-вымогателя.
Участники WeipTech обнаружили похищенную информацию на C&C-сервере, который был связан с мобильными устройствами, зараженными KeyRaider. Используя уязвимости, имеющиеся в сервере, эксперты получили доступ к украденным данным, однако посторонняя активность на сервере была быстро обнаружена создателями KeyRaider. WeipTech выпустили специальный сервис, позволяющий пользователям узнать, стали ли они жертвами KeyRaider.
