Złośliwe oprogramowanie zostało początkowo wykryte w lipcu przez firmę WeipTech, podczas analizy zmian wprowadzanych w systemie iOS. Dalsze poszukiwania prowadzone przez badaczy Palo Alto Networks doprowadziły do 92 próbek kodu obecnych w Internecie i aktywnie wykorzystywanych do kradzieży informacji oraz wyłudzeń pieniędzy. Oprogramowanie zostało nazwane KeyRaider, było dystrybuowane w niezależnym repozytorium. Na jednym z serwerów badacze znaleźli informacje o 225 tysiącach prawdziwych kont Apple, razem z hasłami. Jak informuje Palo Alto Technologies jest to prawdopodobnie największa w historii kradzież tożsamości i kont Apple w historii przeprowadzona za pomocą złośliwego oprogramowania dla smartfonów iPhone i jeden z największych botnetów utworzonych przez malware na urządzeniach produkcji Apple'a. Zagrożenie dotyczy wyłącznie urządzeń po jailbreaku, a twórca reklamował tę aplikację jako modyfikację, która umożliwia darmowe zakupy w sklepie Apple.

Konta głównie z osiemnastu krajów, Polska na liście

Wstępna analiza pokazała, że zagrożenie dotyczy użytkowników z 18 krajów, między innymi Chiny, Francja, Rosja, Japonia, Wielka Brytania, USA, Kanada, Niemcy, Australia, Izrael, Włochy, Hiszpania, Singapur oraz Korea Płd. Adresy e-mail związane z przejętymi kontami Apple są zarejestrowane w różnych domenach, 10 najpopularniejszych z nich to qq.com, 163.com, icloud.com, gmail.com, 126.com, hotmail.com, sina.com, vip.qq.com, me.com oraz 139.com (sześć z nich jest używanych głównie w Chinach), ale na liście znajdują się także polskie konta pocztowe, zarejestrowane w domenie .pl. Dane uzyskano wykorzystując popularną podatność (SQL Injection) w oprogramowaniu serwera kontrolującego botnet. W tym czasie prowadzono również analizę kodu, by poznać aktywność tego malware'u.

Zobacz również:

• Apple ostrzega przed szpiegowskim oprogramowaniem działającym podobnie jak Pegasus
• Co trzecia firma w Polsce z cyberincydentem
• Wirusy na smartfonach Apple iPhone - czy to możliwe?

Jak działa KeyRaider i co robi

Kod malware'u wykorzystuje dynamiczne biblioteki Mach-O używane we frameworku MobileSubstrate. Za pomocą MobileSubstrate API złośliwe oprogramowanie może przechwycić komunikaty w procesach systemowych lub w dowolnej aplikacji iOS. Historia ustawiania hooków i nadużywania API MobileSubstrate była dość długa - z tego API korzystało złośliwe oprogramowanie Unflod (nazywane również SSLCreds lub Unflod Baby Panda wykryte przez użytkowników serwisu Reddit i analizowane przez SektionEins) oraz AppBuyer. W KeyRaiderze rozwinięto tę technologię i wprowadzono następujące złośliwe działanie:

• Kradzież konta Apple (użytkownik i hasło) oraz informacji o identyfikatorze urządzenia - GUID,
• Kradzież certyfikatów oraz kluczy prywatnych używanych przez usługę Apple Notification Service,
• Wyłączenie możliwości odblokowania urządzenia za pomocą hasła lub usługi iCloud.

KeyRaider po instalacji hooka przechwytuje proces logowania się użytkownika za pomocą klienta Apple Store, a następnie szyfruje przechwycone informacje za pomocą statycznego klucza AES zawierającego łańcuch "mischa07" i przesyła dane do serwera kontrolującego botnet. Po przechwyceniu kluczy prywatnych za pomocą innych odwołań API, zarządzający botnetem mogą wywołać także fałszywe powiadomienia. Poprzez zmiany wprowadzane przez KeyRaidera do mechanizmu odblokowania (użyto do tego celu nieudokumentowanego przez Apple mechanizmu com.apple.lockdown.identity.activation), twórcy botnetu mogą zablokować smartfony i później żądać okupu.

Atak na telefony po jailbreaku

Badacze ustalili, że oprogramowanie było dystrybuowane w prywatnych repozytoriach i przeznaczone do instalacji w iPhone'ach po jailbreakingu. W odróżnieniu od innych repozytoriów Cydii takich jak BigBoss czy ModMyi, Weiphone umożliwia prowadzenie własnych repozytoriów dla każdego z zarejestrowanych użytkowników. Z tej funkcjonalności korzystają użytkownicy, którzy wymieniają się aplikacjami między sobą. Jeden z użytkowników serwisu Weiphone umieścił w repozytorium co najmniej 15 próbek kodu, a zbieżność nazwy konta z kluczem używanym do szyfrowania komunikacji sugeruje, że prawdopodobnie jest on autorem tego złośliwego oprogramowania. Niektóre z programów jego autorstwa pobierano dziesiątki tysięcy razy zaledwie w jednym repozytorium. Wiadomo na pewno, że kod ten znalazł się także w innych miejscach. Głównym celem nadal były telefony po operacji jailbreak.