小饼仔2015/09/08 14:08 from:KeyRaider: iOS Malware Steals Over 225,000 Apple Accounts to Create Free App Utopia 摘要 最近，WeipTech（威锋技术组）分析了一些用户报告的可疑iOS应用，发现了存储在某服务器上超过22,5000个有效的Apple账户和密码。 通过与WeipTech的合作，我们（Paloalto）识别了92个尚未发现过的恶意软件样本。为了找出恶意软件作者的意图，我们对样本进行了分析，并将这个恶意软件家族命名为“KeyRaider”。从结果来看，我们相信这是有史以来因恶意软件所造成的最大Apple账号泄露事件。 在中国，KeyRaider 将目标锁定在已越狱的iOS设备上，并通过第三方Cydia源传播。并且这个恶意软件很可能已经影响到了18个国家的用户，包括中国、法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国等。 KeyRaider 通过MobileSubstrate框架来hook系统进程，拦截iTunes通信来窃取Apple账户用户名、密码和设备GUID。 它还会窃取iPhone 和 iPad设备上的Apple 推送通知服务证书和私钥、App Store购买凭证，并禁用本地和远程解锁功能。 KeyRaider已经成功窃取了超过22，5000个有效的Apple账户、输千个证书、私钥和购买凭证。恶意软件将窃取到的数据上传到了存在漏洞的C2(command and control)服务器上，因此暴露了用户信息。 此次攻击的目的是为了让用户通过使用两款iOS越狱应用（越狱后通过Cydia源安装的应用）来免费下载官方App Store的任意应用，且不需要付款就可以在应用内进行购买服务。越狱应用是能够让用户执行在正常设备上无法进行的操作的软件包。 这两款越狱应用会劫持app购买请求，下载存放在C2 服务器中被窃取的账户和购买凭证，然后模拟iTunes协议登陆到Apple服务器，购买app或其他用户请求的项目。这两款越狱应用已经被下载超过20,000次，这意味着大约20,000名用户正在滥用其他225,000个被窃取的证书。 一些受害者已经报告了他们的Apple账户存在非正常app购买记录和其他一些勒索行为。 Palo Alto Networks和WeipTech 已经提供了能够检测KeyRaider 恶意软件和识别被窃取的证书的服务。在接下来的内容中，我们会提供恶意软件和攻击的细节。 发现KeyRaider 此次攻击最早由i_82发现，他是一名来自扬州大学的学生、WeipTech成员。WeipTech是一个非职业技术团体，由WeiPhone(中国最大的Apple粉丝网站)的用户组成。之前WeipTech与我们合作，披露了iOS和OS X上的恶意软件AppBuyer、WireLurker。 从2015-07-01开始，WeipTech 开始调查一些用户Apple账户在未经授权的情况下，购买和安装了iOS app。再对用户安装的越狱应用进行调查后，他们发现了一款越狱应用收集用户信息，并上传到一个未知的网站。他们发现这个网站存在SQL注入，能够查看到所有的数据记录。Figure 1是”top 100”数据库的截图 Figure 1. WeipTech 发现在C2服务器上存在SQL注入(from WeipTech) 在数据库中，WeipTech 发现了标明为“aid”字段一共有225,941 条记录。大约2万条记录包含明文用户名、密码、GUIDs。剩余的记录是加密的。 通过逆向恶意应用，WeipTech 发现了一段代码，这段代码中使用静态key为“mischa07”的AES加密算法对数据进行加密。利用静态key，我们能够解密用户名和密码。经过登陆验证，他们确信记录中的信息都是有效的Apple账户。在网站管理员发现、关闭服务之前，WeipTech调查人员下载了大约一半的数据库记录。 8月25日，WeipTech在微博发布漏洞预警，将漏洞提交到WooYun（乌云漏洞报告平台），并后续转交第三方合作机构CNCERT/CC（国家互联网应急响应中心）处理。 当 Palo Alto Networks研究人员在分析WeipTech 报告的恶意软件时，我们发现它没有包含恶意代码来窃取密码并上传数据到C2 服务器。然而，通过WeipTech 提供的其他信息，我们发现存在其他的恶意越狱应用，存在窃取用户信息并上传到相同的服务器上。 […]

您可能也喜欢：

21CN某系统SQL注入导致账号信息泄露

苹果的下一件大事件：增强现实

苹果：全球“电子垃圾”最大制造商？

揭秘：iOS恶意软件KeyRaider如何盗取超过22.5万苹果账户

全球最大偷情网站CEO因黑客攻击事件离职

无觅