Исследователи из Palo Alto Networks обнаружили новое семейство зловредов, нацеленных на поражение джейлбрейкнутых смартфонов Apple. Вредонос KeyRaider установлен на четверть миллиона устройств. С каждого снимаются учетные данные для аккаунтов Apple и отправляются на удаленный сервер. Таким образом, произошел один из крупнейших взломов аккаунтов Apple в истории. Хуже всего, что база угнанных аккаунтов открыта для всех желающих.
Как обычно, зловред распространяется через каталог программного обеспечения Cydia, свободную альтернативу App Store. Вредоносный код KeyRaider добавлен к легитимным программам для «настройки джейлбрейка» (jailbreak tweak) и незаметно устанавливается на мобильное устройство жертвы. Распространением занимается пользователь Миша (mischa07).
Репозиторий Миши и фрагмент кода программы
По информации Palo Alto Networks, от действий зловреда пострадали пользователи как минимум восемнадцати стран, особенно тех, где пользователи Apple любят делать джейлбрейк. Это Китай и Россия. Кроме них, пострадали пользователи из Франции, Японии, Великобритании, США, Канады, Германии, Австралии, Израиля, Италии, Испании, Сингапура и Южной Кореи.
Самое интересное, что иногда инфекция не ограничивается только кражей учетных данных. В некоторых случаях KeyRaider берет телефон в заложники и требует выкупа. Отмечены и случаи несанкционированного снятия денег со счетов отдельных пользователей.
Кроме 225 000 украденных аккаунтов, хозяева KeyRaider получили в свое распоряжение тысячи сертификатов, секретных ключей шифрования и счетов с финансами.
Собранную информацию зловред отправляет на командный сервер, который и сам страдает от наличия уязвимости с внедрением SQL-кода, что делает конфиденциальную информацию пользователей открытой, теоретически, для всех желающих. Примерно 20 000 аккаунтов в базе содержат в открытом виде имя пользователя, пароль и GUID, остальная часть зашифрована.
Взломав сервер с помощью этой уязвимости, специалисты Palo Alto Networks получили точную информацию о количестве угнанных Apple-аккаунтов: 225 941. Возможно, вскоре база появится в торрентах.
Фото: @bareform