По данным компании Palo Alto Networks, вредоносное ПО, получившее название KeyRaider, похитило аккаунты более 225 тысяч устройств, работающих под управлением iOS с джейлбрейком. Данная вредоносная программа позволяет загружать из App Store приложения без необходимости их оплаты или переживаний по поводу блокировки мобильного устройства. Специалисты утверждают, что хакерская кампания с использованием KeyRaider является одной из самых масштабных, похищающих учетные записей пользователей продуктов от Apple.
На прошлой неделе, были сообщения о том, что злоумышленники украли 220 тысяч учетных записей Apple ID при помощи вредоноса, который замаскировали под джейлбрейк-твик. Злоумышленники используют бэкдоры в неофициальных приложениях, чтобы получить доступ к данным пользователя. В данный момент, эксперты смогли получить больше информации о данном вредоносе.
В первый раз, махинации подобного характера были замечены студентом из города Ханчжоу, который является членом любительской технической группы WeipTech, как сообщает Securitylab. KeyRaider был предложен, как твик для устройств с джейлбрейком, на форуме Weiphone. Эксперты подозревают пользователя с никнеймом mischa07 в распространении вредоносного ПО. Именно это имя пользователя было закодировано в KeyRaider в качестве ключа шифрования и дешифрования вредоноса. Анализ репозитория пользователя показал, что он загрузил на Weiphone огромное количество твиков, которые позволяют мошенничать в играх, перенастраивать систему и тд.
Твик KeyRaider распространяется через Cydia, которое создано для загрузки приложений для iPhone и iPad с джейлбрейком. Вредонос может перехватывать трафик iTunes и похищать учетные данные пользователей, сертификаты, личные ключи и тд. Также, KeyRaider был использован в качестве вредоноса-вымогателя.
WeipTech смогла обнаружить похищенные данные на C&C-сервере, который связан с мобильными устройствами, которые были инфицированы KeyRaider. Эксперты, с помощью уязвимости в этом сервере, смогли получить доступ к украденной информации, но авторы KeyRaider быстро обнаружили проникновение. WeipTech создали специальный сервис, который поможет пользователям узнать, попали ли они в число жертв KeyRaider.