Исследователи обнаружили новую разновидность вредоносного ПО для iOS, названную ими KeyRaider. Сей зловред избрал своими целями разблокированные мобильные устройства, с которых он похищает сертификаты, закрытые ключи и информацию об учетных записях Apple. От его действий уже пострадало свыше 225 тыс. пользователей.

KeyRaider был обнаружен специалистами Palo Alto Networks. На след зловреда их навела группа китайских ИБ-энтузиастов, известная как WeipTech, которая натолкнулась на базу данных, хранившую украденную информацию об аккаунтах Apple. Члены WeipTech получили ряд жалоб от пользователей продукции Apple о том, что им стали приходить сообщения о неавторизованных покупках. Оказалось, что пострадали только те пользователи разблокированных устройств, которые установили особую модификацию (твик, tweak). Их персданные передавались на удаленный сервер.

Специалисты обнаружили на этом сервере базу данных, содержавшую более 225 тыс. записей, часть из которых хранилась в виде обычного текста, другие же были зашифрованы. Записи, хранившиеся в открытом виде, содержали юзернеймы и пароли для аккаунтов Apple, а также глобальные идентификаторы (GUID).

«Изучив код этой модификации, специалисты WeipTech обнаружили, что она использует алгоритм шифрования AES с фиксированным ключом mischa07. Зашифрованные юзернеймы и пароли можно расшифровать при помощи этого ключа. Воспользовавшись частью учетных данных, они удостоверились в том, что это юзернеймы от учетных записей Apple. Исследователи из WeipTech успели извлечь из базы данных почти половину записей, однако их деятельность была обнаружена администратором сервера, который закрыл к нему доступ», — говорится в посте Клода Сяо (Claud Xiao) из Palo Alto Networks.

Эксперты WeipTech вышли на связь с исследователями из Palo Alto, сообщив им о своих находках, на основе которых стало ясно, что за кражей данных стоит не модификация — данные похищал зловред KeyRaider. По данным, доступным на настоящий момент, зловред распространяется через репозитории бесплатного ПО для разблокированных iOS-устройств, используемые приложением Cydia и размещенные на китайском веб-сайте поклонников Apple под названием Weiphone.

«Зловред цепляется к системным процессам при помощи модификации MobileSubstrate и похищает юзернеймы, пароли и глобальные идентификаторы учетных записей Apple, перехватывая трафик, используемый iTunes. KeyRaider похищает сертификаты службы push-уведомлений Apple и закрытые ключи, информацию о покупках, совершенных в App Store, и также отключает функции локальной и удаленной разблокировки, используемые iPhone и iPad», — заявил Сяо.

KeyRaider обычно устанавливается вместе с модификациями и приложениями, скачанными с сайта Weiphone. Сяо заявил, что в коде зловреда имеются отсылки к некоему mischa07 и точно такое же сочетание используется в качестве вшитого ключа, при помощи которого были зашифрованы данные, обнаруженные экспертами WeipTech. По всей видимости, злоумышленники собираются использовать собранные ими учетные данные для совершения неавторизованных покупок.

«Вредоносный код KeyRaider кроется в динамических библиотеках Mach-O, используемых фреймворком MobileSubstrate в качестве плагинов. Через API MobileSubstrate зловред может прицепиться к API системных процессов или других приложений iOS», — заявил эксперт.

KeyRaider похищает персональную информацию жертв, перехватывая данные, передаваемые между скомпрометированным устройством и iTunes App Store.

«В тех случаях, когда клиент App Store запрашивает у пользователя его юзернейм, эта информация передается через SSL-сессию. KeyRaider ищет подобные сессии и извлекает из передаваемых данных юзернейм, пароль и глобальный идентификатор. Затем эти учетные данные шифруются при помощи алгоритма AES с использованием статического ключа mischa07 и отправляются на C&C-сервер, — говорит исследователь. — В некоторых случаях KeyRaider также цепляется к процессу apsd, отвечающему за службу push-уведомлений Apple (Apple Push Notification Service). Зловред цепляется к функции SecItemCopyMatching, описанной во фреймворке Security. Этот API используется для анализа содержимого функции keychain и поиска там данных, связанных с текущим поисковым запросом».

Именно этот функционал позволяет KeyRaider похищать сертификаты и закрытые ключи, которые затем передаются на C&C-сервер вместе с глобальным идентификатором. Зловред также позволяет атакующим при помощи украденных данных бесплатно загружать и устанавливать любые платные приложения из App Store. Сяо заявил, что KeyRaider также имеет функционал, который позволяет злоумышленнику «взять телефон в заложники».

«Зловред позволяет отключить любые действия, используемые для разблокировки устройства, даже если был введен правильный пароль или код. Он также позволяет послать сообщение с требованием выкупа в обход push-сервера, используя краденый сертификат и закрытый ключ. Из-за наличия подобного функционала ранее используемые методы «спасения» устройств более не являются эффективными», — заявил Сяо.

На прошлой неделе эксперты Palo Alto сообщили о зловреде в Apple, а также передали им украденные учетные данные.

Категории: Вредоносные программы