La Unidad 42 Palo Alto Networks informó la semana pasada que más de 225.000 cuentas de Apple ha robado datos, miles de certificados, claves privadas y los recibos de compra.
La firma identifica el malware en cooperación con WeipTech, que encontró en las cuentas del servidor, mientras se estaba analizando actividades sospechosas en ajustes/reporte de usuario en iOS .
KeyRaider tiene el objetivo en iPhones de Apple modificados por sus dueños, es decir que acepta aplicaciones de terceros, que contienen aplicaciones diseñadas para ejecutarse en iPhones con jailbreak, distribuyen el programa pernicioso, según Palo Alto Networks. La amenaza parece haber afectado a los usuarios de 18 países, entre ellos China, Rusia, Japón, el Reino Unido, los EE.UU., Canadá y Corea del Sur.
Palo Alto Networks informó a Apple acerca de las credenciales comprometidas antes de hacer públicas sus conclusiones, dijo Ryan Olson, director de inteligencia de la Unidad 42.
«Fue capaz de tomar medidas al respecto antes del anunció», dijo a TechNewsWorld. Apple no respondió a nuestra solicitúd de comentarios.
Aplicaciones gratuitas para el Ladrones
Intervención de Apple por sí sola no va a proteger a los propietarios de los teléfonos infectados, sin embargo.
«Apple no puede eliminar la infección de los teléfonos que están con jailbreak», Olson TechNewsWorld. Esto significa que si un propietario no elimina la infección de un teléfono, nuevas credenciales simplemente se robarán de nuevo.
KeyRaider se ancla en la capa del sistema operativo de un iPhone y roba nombres de usuario de la cuenta de Apple, contraseñas e identificadores globales al interceptar tráfico de iTunes en el dispositivo, Unidad 42, explicó. También roba los certificados de servicios de notificación de Apple y claves privadas y acciones en App Store con su información de compras, desactiva las funciones de desbloqueo locales y remotos en iPhones y iPads.
«Algunas víctimas han informado de que sus cuentas de Apple robadas muestran actividades anormales en el historial de compras», informó la Unidad 42 investigador Claud Xiao.
Ecosistema Seguro de Apple
Los ajustes se han descargado «más de 20.000 veces, lo que sugiere alrededor de 20.000 usuarios están abusando de las 225.000 credenciales robadas», señaló Xiao.
Quien está detrás del ataque no parece tener el objetivo de obtener una ganancia.
«Parece que sólo quiere permitir que un montón de gente pueda conseguir aplicaciones gratuitas a cargo de otra persona, pero no necesariamente les dan ningún beneficio personal grande», dijo Olson.
Eso podría cambiar, sin embargo. «Es muy posible que tengan intenciones futuras para hacer algo más malicioso», observó. «ID de Apple pueden ser utilizados para acceder a iCloud, donde la gente tiene todo tipo de información.»
Este último ataque en iPhones modificados no tendrá mucho impacto en el ecosistema de Apple en su conjunto, mantiene Tim Erlin, director de seguridad de TI y estrategia de riesgos en Tripwire.
«Los objetivos de KeyRaider jailbreak en teléfonos móviles es a los que se han separado de el ecosistema de Apple», dijo a TechNewsWorld. «Cualquier persona que tenga un teléfono de Apple y no posee jailbreak no está en riesgo por este malware.»
Peligros de Jailbreaking
Palo Alto Networks ha proporcionado las siguientes instrucciones para encontrar y eliminar la infección en un teléfono con jailbreak:
1.- Instale el servidor OpenSSH a través de Cydia
2.- Conecte el dispositivo a través de SSH
3.- Vaya a /Library/MobileSubstrate/DynamicLibraries/ busque estas cadenas en todos los archivos de este directorio:
wushidou
gotoip4
Bamu
getHanzi
«Si cualquier archivo dylib contiene cualquiera de estas cadenas, instamos a los usuarios borrar y borrar el archivo plist con el mismo nombre de archivo, a continuación, reiniciar el dispositivo.» También recomendamos a todos los usuarios afectados que cambien su contraseña de la cuenta de Apple después de eliminar el malware, y permitir verificaciones factores para ID de Apple «.
Habilitación de la autenticación de factores para las compras de aplicaciones a través de Apple evitará que Tweakers KeyRaider pueda hacer compras no autorizadas con credenciales robadas, se aplica incluso a propietarios de teléfonos con jailbreak.
«Usted está poniendo a su teléfono expuesto a una gran cantidad de riesgos si se usa aplicaciones de terceros», dijo Olson.
«Jailbreaking suena como si estuviera que salir de la jaula», agregó Jonathan Sander, vicepresidente de estrategia de producto de Lieberman Software.
«Esa es toda la razón, pero la jaula está ahí para protegerte«, dijo a TechNewsWorld. «Sin la jaula, te permites salir, pero también invita a todos los demás a entrar.«