Вирус для джейлбрейкнутных iOS-устройств «угнал» 225 тысяч аккаунтов Apple ID

Неизвестные злоумышленники при помощи сети из утилит для iOS, распространяемых через неофициальный магазин приложений Cydia, крали пользовательские аккаунты, а затем требовали выкуп или использовала платёжные данные для покупки в официальных приложениях. Об этом говорится в совместном исследовании компаний WeipTech и Palo Alto Networks.

Изучая сторонние утилиты для iOS, исследователи обнаружили, что часть из них сохраняет аккаунты Apple ID и отправляет их на удалённый сервер. Всего таких программ было 92, и распространяемый через них вирус назвали KeyRaider.

По словам исследователей, KeyRaider мог затронуть 225 тысяч пользователей в 18 странах, включая Россию, США, Израиль, Францию, Германию, Италию, Испанию, Канаду, Великобританию, Австралию, Японию, Южную Корею, Сингапур и Китай.

Большинство из пострадавших пользователей имели китайское происхождение, предполагают авторы исследования, так как их адреса электронной почты принадлежали местным сервисам: qq.com, 163.com, sina.com, 126.com и другим. При этом база украденных Apple ID содержала адреса и на некитайских сервисах вроде Gmail, me.com и icloud.com, а некоторые почтовые ящики были зарегистрированы на национальных доменах (например, .ru).

KeyRaider перехватывал трафик iTunes и не только крал данные аккаунтов, но и получал доступ к сертификатам Apple для отправки push-уведомлений, показывая пользователю то, что требовалось злоумышленникам.

Вредоносный код также мог контролировать процесс разблокировки телефона. Один из пользователей сообщил исследователям, что его айфон оказался заблокирован, а для восстановления работы неизвестные потребовали от него связаться по номеру телефона или популярному в Китае мессенджеру QQ.

Целью атаки был сбор платёжных данных реальных аккаунтов Apple ID для последующего использования в официальном магазине приложений App Store. По словам исследователей, приложение для покупок при помощи краденых данных использовали около 20 тысяч человек.

Вредоносные утилиты распространялись через репозиторий посвящённого Apple китайского сайта Weiphone. В отличие от популярных BigBoss или ModMyi, в Weiphone любой зарегистрированный пользователь может загружать и распространять свои приложения или дополнения (в Cydia их называют «твиками»).

Один из посетителей Weiphone под ником mischa07 загрузил по меньшей мере 15 твиков, содержащих код KeyRaider: они позволяли убирать рекламу из других приложений, модифицировать функциональность системы или использовать читы в играх. Исследователи предполагают, что mischa07 и был автором вредоносного кода.