Вредонос KeyRaider продолжает инфицировать iOS-устройства с джейлбрейком

Согласно данным ИБ-исследователей из Palo Alto Networks, учетные данные более 225 тысяч устройств на базе iOS с джейлбрейком были похищены с помощью вредоносного ПО, которое получило название KeyRaider. Вредонос позволяет загружать из интернет-магазина App Store приложения без необходимости их оплаты или переживаний по поводу блокировки мобильного устройства. По словам специалистов, хакерская кампания с использованием KeyRaider является одной из самых масштабных кампаний по похищению учетных записей пользователей «яблочной» продукции.

Напомним , на прошлой неделе экспертам из WooYun стало известно о том, что злоумышленники скомпрометировали 220 тысяч учетных записей в Apple iCloud при помощи вредоноса, замаскированного под джейлбрейк-твик. Злоумышленники активно используют бэкдоры в неофициальных приложениях для получения доступа к данным учетных записей Apple ID. В настоящее время у ИБ-экспертов появилось больше информации о данном вредоносе.

Впервые подобные махинации были замечены студентом из университета в городе Ханчжоу, членом любительской технической группы WeipTech. KeyRaider был предложен в качестве твика для устройств с джейлбрейком на форуме Weiphone. Специалисты подозревают пользователя под псевдонимом mischa07 в распространении вредоноса. Именно этот псевдоним был жестко закодирован в KeyRaider в качестве ключа шифрования и дешифрования вредоноса. Анализ репозитория mischa07 показал, что данный пользователь загрузил на Weiphone большое количество твиков, позволяющих мошенничать в играх, перенастраивать системы и пр.

KeyRaider распространяется через Cydia, созданное для загрузки приложений для устройств с джейлбрейком. Вредонос позволяет перехватывать трафик iTunes и похищать учетные данные пользователей, сертификаты, личные ключи и пр. KeyRaider также был использован в качестве вредоноса-вымогателя.

WeipTech обнаружила похищенные данные на C&C-сервере, связанном с инфицированными KeyRaider мобильными устройствами. Уязвимости в сервере позволили ИБ-экспертам получить доступ к украденной информации, однако авторы KeyRaider быстро обнаружили «проникновение». WeipTech создали специальный сервис, который позволяет пользователям узнать, попали ли они в число жертв KeyRaider.