Вредонос KeyRaider инфицирует iOS-устройства с джейлбрейком


Palo Alto NetworksИсследователи из Palo Alto Networks провели исследование в результате которого удалось установить, что учетные данные более 225 тысяч устройств на базе iOS с джейлбрейком были похищены с помощью вредоносного ПО KeyRaider.

KeyRaider - вредоносное ПО, позволяющее загружать из интернет-магазина App Store приложения без необходимости их оплаты или переживаний по поводу блокировки мобильного устройства.

Согласно данным исследования, хакерская кампания с использованием KeyRaider является одной из самых масштабных кампаний по похищению учетных записей пользователей "яблочной" продукции.

Напомним, на прошлой неделе эксперты из WooYun установили, что злоумышленники скомпрометировали 220 тысяч учетных записей в Apple iCloud при помощи вредоноса, замаскированного под джейлбрейк-твик. Злоумышленники активно используют бэкдоры в неофициальных приложениях для получения доступа к данным учетных записей Apple ID. На данный момент у экспертов появилось больше информации о данном вредоносе.

Впервые подобные махинации были замечены, когда KeyRaider был предложен в качестве твика для устройств с джейлбрейком на форуме Weiphone. Специалисты считают, что за распространением вредоноса стоит пользователь под псевдонимом mischa07. Причиной такого предположения стал тот факт, что именно этот псевдоним был закодирован в KeyRaider в качестве ключа шифрования и дешифрования вредоноса. Кроме того, анализ репозитория mischa07 показал, что данный пользователь загрузил на Weiphone большое количество твиков, которые позволяют мошенничать в играх, перенастраивать системы и пр.

Само вредоносное ПО KeyRaider распространяется через Cydia, созданное для загрузки приложений для устройств с джейлбрейком. Зловред позволяет:

  • перехватывать трафик iTunes;
  • похищать учетные данные пользователей;
  • похищать сертификаты, личные ключи и пр.


Кроме того, KeyRaider еще использовался в качестве вредоноса-вымогателя.

WeipTech обнаружила похищенные данные на C&C-сервере, связанном с инфицированными KeyRaider мобильными устройствами. А уязвимости в сервере позволили экспертам получить доступ к украденной информации. Однако, авторы KeyRaider быстро обнаружили "проникновение". WeipTech создали специальный сервис, позволяющий пользователям узнать, попали ли они в число жертв KeyRaider.


Обновлено (31.08.2015 19:20)