【IT168 资讯】近日,威锋网技术组(WeipTech)根据用户报告,对可疑Apple iOS 插件进行分析,发现有超过225,000个有效Apple账户及其密码在某台服务器上被窃取。
Palo Alto Networks联合威锋网技术组 (WeipTech)已在公众环境中确认了32个最新iOS恶意软件样本,并对其进行分析以判断发起者的最终意图,为此我们已将这些恶意软件命名为“KeyRaider”。我们认为这是迄今为止,由恶意软件引起的最大Apple账户被盗事件。
KeyRaider以越狱iOS设备为目标,通过中国的第三方Cydia数据源进行分发。总体来讲,已有迹象显示该威胁已经影响到了来自18个国家的用户,包括:中国、法国、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙及韩国等。
该恶意软件通过MobileSubstrate连接系统,通过截取流经设备上的iTunes流量来窃取Apple账户的用户名、密码以及设备GUID。KeyRaider 可窃取Apple推送通知服务证书和密钥、窃取并分享App Store购买信息,令iPhone和iPad上的本地和远程解锁功能瘫痪。
KeyRaider已经成功窃取超过225,000个有效Apple账户,以及数千份证书、密钥和购买收据等。该恶意软件将窃取到的数据上传至指挥控制(C2)服务器,而该服务器本身有可能会导致用户信息泄露。
实施此种攻击的目的,可使两类iOS 越狱插件用户能够从官方App Store中下载应用,该下载可在应用程序内购买而无需实际支付。越狱插件实际上是一种软件包,可以帮助用户实现通常不可能在iOS实现的操作。
这两类插件会绑架App的购买请求,下载被盗账户或C2服务器上的购买收据,然后仿真iTunes协议并登录Apple服务器,购买应用程序或其他用户要求的项目。该插件已被下载超过20,000次,这意味着约2万名用户正在滥用225,000个被盗凭证。
一些受害者表示,他们被盗的Apple账户显示异常的App购买历史,并且其他被盗用户也表示,因为他们的手机账户被盗,他们曾遭到勒索。
Palo Alto Networks与威锋网技术组 (WeipTech)已推出相关服务,以检测KeyRaider恶意软件并识别被盗凭证。预知更多KeyRaider恶意软件的信息和攻击细节,敬请点击参考以下博文:http://researchcenter.paloaltonetworks.com/2015/08/keyraider-ios-malware-steals-over-225000-apple-accounts-to-create-free-app-utopia/