Keyraider заразил 225 тысяч джейлбрейкнутых Iphone

Исследователи из Palo Alto Networks обнаружили новое семейство зловредов, нацеленных на поражение джейлбрейкнутых смартфонов Apple. Вредонос KeyRaider установлен на четверть миллиона устройств. С каждого снимаются учетные данные для аккаунтов Apple и отправляются на C&C сервер. Таким образом, произошел один из крупнейших взломов аккаунтов Apple в истории.

Как обычно, malware распространяется через каталог программного обеспечения Cydia, свободную альтернативу App Store. Вредоносный код KeyRaider добавлен к легитимным программам для «настройки джейлбрейка» (jailbreak tweak) и незаметно устанавливается на мобильное устройство жертвы. Распространением занимается пользователь Миша (mischa07).

От действий зловреда пострадали пользователи как минимум восемнадцати стран, особенно тех, где пользователи Apple любят делать джейлбрейк. Это Китай и Россия. Кроме них, пострадали пользователи из Франции, Японии, Великобритании, США, Канады, Германии, Австралии, Израиля, Италии, Испании, Сингапура и Южной Кореи.

Самое интересное, что иногда инфекция не ограничивается только кражей учетных данных. В некоторых случаях KeyRaider работает, как локер, т.е. блокирует телефон и требует деньги за разлок. Отмечены и случаи несанкционированного снятия денег со счетов отдельных пользователей.

Кроме 225 000 украденных аккаунтов, хозяева KeyRaider получили в свое распоряжение тысячи сертификатов, секретных ключей шифрования и счетов с финансами.

Собранную информацию зловред отправляет на командный сервер, который и сам страдает от наличия SQL-inj. Взломав сервер с помощью этой уязвимости, специалисты Palo Alto Networks получили точную информацию о количестве угнанных Apple-аккаунтов: 225 941. Возможно, вскоре база появится в торрентах.

Примерно 20 000 аккаунтов в базе содержат в открытом виде имя пользователя, пароль и GUID, остальная часть зашифрована.