Palo Alto Networks ha identificado una nueva familia de malware iOS apodado "KeyRaider" que ha robado más de 225.000 válida de Apple cuentas con contraseñas de los dispositivos con jailbreak. Con la ayuda de WeipTech, la compañía encontró 92 muestras de malware responsable para que sea la más grande robo de cuentas de Apple causados por el malware.
KeyRaider se distribuye a través de repositorios de Cydia de terceros, principalmente en China. Se conecta a través de los procesos del sistema MobileSubstrate y roba nombres de usuario de la cuenta de Apple, las contraseñas y los GUID de dispositivos al interceptar el tráfico de iTunes. También roba certificados de Apple empuje servicio de notificación y claves privadas, robos y acciones de la App Store de compra de información, y desactiva las funciones de desbloqueo locales y remotos en iPhones y iPads.
Los datos robados se carga en un servidor de comando y control y usada por dos ajustes jailbreak (iappstore y iappinbuy) para facilitar las compras libres de la App Store.
Estos dos ajustes se secuestrar solicitudes de aplicaciones de compra, descarga cuentas robadas o recibos de compra del servidor C2, entonces emular el protocolo de iTunes para conectarse a servidores y aplicaciones de compra de Apple u otros artículos solicitados por los usuarios. Los ajustes se han descargado más de 20.000 veces, lo que sugiere alrededor de 20.000 usuarios están abusando de las 225.000 credenciales robadas.
Debido a una vulnerabilidad en el servidor de comando y control, los investigadores fueron capaces de descargar sobre la mitad de las cuentas antes de que se detecta su presencia y bloqueado. Para comprobar si su cuenta está en la lista parcial de las cuentas comprometidas, haga clic aquí.
Un mejor método para comprobar si su dispositivo se ve comprometida implica la búsqueda de cadenas en el dispositivo:
1. Instale el servidor OpenSSH a través de Cydia
2. Conecte el dispositivo a través de SSH
3. Vaya a / Library / MobileSubstrate / DynamicLibraries / y grep para estas cadenas a todos los archivos en este directorio:
● wushidou
● gotoip4
● Bamu
● getHanzi
Si cualquier archivo dylib contiene cualquiera de estas cadenas, Palo Alto Networks insta a los usuarios a eliminar y borrar el archivo plist con el mismo nombre de archivo, a continuación, reiniciar el dispositivo. También es recomendable que todos los usuarios afectados cambien su contraseña de la cuenta de Apple después de eliminar el malware, y permiten verificaciones de dos factores para su ID de Apple.
Para empeorar las cosas, KeyRaider tiene la capacidad de mantener su dispositivo y dar cuenta al rescate.
Algunos ataques iPhone ransomware anteriores se basan en controlar de forma remota el dispositivo iOS a través del servicio iCloud. Algunos de estos ataques pueden ser evitados al restablecer la contraseña de cuenta para recuperar el control de iCloud. KeyRaider es diferente. Se puede deshabilitar localmente cualquier tipo de operaciones de desbloqueo, si el código de acceso o contraseña correcta ha sido introducido. También, puede enviar un mensaje de notificación exigiendo un rescate directamente utilizando el certificado robado y clave privada, sin pasar por servidor de inserción de Apple. Debido a esta funcionalidad, algunos de los métodos de "rescate" utilizados anteriormente ya no son eficaces.
Más detalles sobre el funcionamiento de malware se pueden encontrar en el siguiente enlace. Como de costumbre, le recomendamos que sólo se instala ajustes de fuentes de confianza o repositorios predeterminados.
No hay comentarios:
Publicar un comentario