Неизвестные злоумышленники при помощи сети из утилит для iOS, распространяемых через неофициальный магазин приложений Cydia, крали пользовательские аккаунты, а затем требовали выкуп или использовали платёжные данные для покупки в официальных приложениях.
Об этом говорится в совместном исследовании компаний WeipTech и Palo Alto Networks. Изучая сторонние утилиты для iOS, исследователи в области безопасности обнаружили, что часть из них сохраняет аккаунты AppleID и отправляет их на удалённый сервер.
Всего таких программ было 92, и распространяемый через них вирус назвали KeyRaider. По словам исследователей, KeyRaider мог затронуть 225 тысяч пользователей в 18 странах, включая Россию, США, Израиль, Францию, Германию, Италию, Испанию, Канаду, Великобританию, Австралию, Японию, Южную Корею, Сингапур и Китай.
Большинство из пострадавших пользователей имели китайское происхождение, предполагают авторы исследования, так как их адреса электронной почты принадлежали местным сервисам: qq.com, 163.com, sina.com, 126.com и другим. При этом база украденных AppleID содержала адреса и на некитайских сервисах вроде Gmail, me.com и icloud.com, а некоторые почтовые ящики были зарегистрированы на национальных доменах (например, .ru).
KeyRaider перехватывал трафик iTunes и не только крал данные аккаунтов, но и получал доступ к сертификатам Apple для отправки push-уведомлений, показывая пользователю то, что требовалось злоумышленникам.
Вредоносный код также мог контролировать процесс разблокировки телефона. Один из пользователей сообщил исследователям, что его айфон оказался заблокирован, а для восстановления работы неизвестные потребовали от него связаться по номеру телефона или мессенджеру QQ.
Целью атаки был сбор платёжных данных реальных аккаунтов AppleID для последующего использования в официальном магазине приложений App Store. По словам исследователей, приложение для покупок при помощи краденых данных использовали около 20 тысяч человек.
Вредоносные утилиты распространялись через репозиторий посвящённого Apple китайского сайта Weiphone. В отличие от популярных BigBoss или ModMyi, в Weiphone любой зарегистрированный пользователь может загружать и распространять свои приложения или дополнения (в Cydia их называют «твиками»).
Один из посетителей Weiphone под ником mischa07 загрузил по меньшей мере 15 твиков, содержащих код KeyRaider: они позволяли убирать рекламу из других приложений, модифицировать функциональность системы или использовать читы в играх. Исследователи предполагают, что mischa07 и был автором вредоносного кода.
