В конце сентября 2019 года ИБ-исследователь, известный под псевдонимом axi0mX, опубликовал в открытом доступе эксплоит, подходящий для джейлбрейка практически любых устройств Apple с чипами от A5 до A11, выпущенными между 2011 и 2017 годами. Разработка получила название Checkm8 и является очень знаковой, так как использует уязвимость в bootrom, а сам автор описывает свой эксплоит как «перманентный и неисправляемый».
Теперь эксперты Cisco Talos предупредили, что злоумышленники не оставили это событие без внимания и уже паразитируют на Checkm8 как могут.
Исследователи обнаружили сайт checkrain[.]com, в точности имитирующий ресурс checkra1n[.]com, на котором группа ИБ-энтузастов (включая самого axi0mX) планирует опубликовать первый удобный для пользователей инструмент для джейлбрейка на основе Checkm8. И хотя исследователи еще не выпустили свой инструмент, мошенники уже пользуются ситуацией.
#checkra1n with #checkm8 #eta #son
— axi0mX (@axi0mX) October 10, 2019
??? pic.twitter.com/2g6QuK9CoC
Фейковый сайт используется для распространения файла конфигурации .mobileconfig. При установке на устройство жертвы этот файл добавляет ярлык на экран пользователя. После нажатия на ярлык запускается headless-браузер (без элементов пользовательского интерфейса), который загружает страницу с сайта мошенников, притворяясь при этом нативным приложением.
Эта замаскированная страница использует анимацию JavaScript и CSS для имитации процесса джейлбрейка устройства. Когда анимация заканчивается, сайт просит пользователя установить игру и за неделю достичь в ней восьмого уровня якобы для завершения процесса джейлбрейка и разблокировки девайса.
С помощью этой «легенды» жертвами могут предложить установить несколько разных игр, и все они являются легитимными приложениями, на самом деле размещенными в iOS App Store. То есть данная мошенническая схема используется не для распространения малвари, но помогает зарабатывать как самим операторам фейкового сайта, так и их партнерам, которые разрабатывают эти игры и покупают себе такую «рекламу».
Исследователи отмечают, что для мало-мальски подкованного пользователя все это будет выглядеть как полная бессмыслица, однако мошенники обычно охотятся на пользователей, не обладающих техническими знаниями.