Согласно данным компании из Palo Alto Networks, аккаунты более 225 000 устройств на базе iOS с джейлбрейком были похищены с помощью вредоносного ПО, которое получило название KeyRaider. Вредонос позволяет загружать из интернет-магазина App Store приложения без необходимости их оплаты или переживаний по поводу блокировки мобильного устройства. По словам специалистов, хакерская кампания с использованием KeyRaider является одной из самых масштабных по похищению учетных записей пользователей «яблочной» продукции.
На прошлой неделе стало известно о том, что злоумышленники скомпрометировали 220 000 учетных записей Apple ID при помощи вредоноса, замаскированного под джейлбрейк-твик. Злоумышленники активно используют бэкдоры в неофициальных приложениях для получения доступа к пользовательским данным. В настоящее время у экспертов появилось больше информации о данном вредоносе.
Впервые подобные махинации были замечены студентом из университета в городе Ханчжоу, членом любительской технической группы WeipTech, передает Securitylab. KeyRaider был предложен в качестве твика для устройств с джейлбрейком на форуме Weiphone. Специалисты подозревают пользователя под псевдонимом mischa07 в распространении вредоноса. Именно этот псевдоним был закодирован в KeyRaider в качестве ключа шифрования и дешифрования вредоноса. Анализ репозитория mischa07 показал, что данный пользователь загрузил на Weiphone большое количество твиков, позволяющих мошенничать в играх, перенастраивать системы и пр.
KeyRaider распространяется через Cydia, созданное для загрузки приложений для iPhone и iPad с джейлбрейком. Вредонос позволяет перехватывать трафик iTunes и похищать учетные данные пользователей, сертификаты, личные ключи и пр. KeyRaider также был использован в качестве вредоноса-вымогателя.
WeipTech обнаружила похищенные данные на C&C-сервере, связанном с инфицированными KeyRaider мобильными устройствами. Уязвимости в сервере позволили экспертам получить доступ к украденной информации, однако авторы KeyRaider быстро обнаружили «проникновение». WeipTech создали специальный сервис, который позволяет пользователям узнать, попали ли они в число жертв KeyRaider.
]]>
