作者: Palo Alto Networks Unit 42威脅研究分析員 Claud Xiao

近日,威鋒網技術團隊(WeipTech)* 根據用戶對Apple iOS可疑外掛程式的舉報進行分析,發現有超過225,000個有效Apple帳戶及其密碼被竊取及存在某伺服器上。

Palo Alto Networks與威鋒網技術團隊已在公眾網絡識別了32個最新iOS惡意程式樣本,並對其進行分析以判斷發起者的最終意圖,亦將這些惡意程式命名為「KeyRaider」。我們認為這是目前為止,由惡意程式引起的最大型Apple帳戶被盜事件。

KeyRaider以破解的iOS設備為目標,透過中國的第三方Cydia數據源進行分發。總體來說,已有跡象顯示該威脅已經影響到了來自18個國家的用戶,包括:中國、法國、日本、英國、美國、加拿大、德國、澳洲、以色列、意大利、西班牙及韓國。

該惡意程式通過MobileSubstrate連接系統,通過攔截設備上iTunes的流量來竊取Apple帳戶的用戶名、密碼以及設備GUID。 KeyRaider 可竊取Apple推送通知服務憑証和密鑰,竊取後再對外分享App Store購買資訊,導致iPhone和iPad的本地和遠程解鎖功能癱瘓。

KeyRaider已經成功竊取超過225,000個有效Apple帳戶,以及數千份憑証、密鑰和購買收據等。該惡意程式將竊取到的數據上傳至駭客的指揮控制(C2)伺服器,而該伺服器本身有外洩用戶資料的漏洞。

此種攻擊的目的將允許使用兩種越獄外掛程式的用戶在無需實際支付予官方App Store以 下載及購買應用程式。越獄外掛程式實際上是一種程式包,讓用戶能夠執行一些正常情況不可能在iOS執行的指令。

這兩種類外掛程式會攫取應用程式的購買請求,下載被盜帳戶資料或C2伺服器上的購買收據,然後模仿iTunes的程序登入Apple的伺服器購買用戶要求的應用程式或其他項目。該外掛程式已被下載超過20,000次,這意味著約2萬名用戶正在濫用225,000個被盜憑證。

部份受害者表示,他們被盜的Apple帳戶會顯示異常的App購買紀錄,亦有受害者表示他們因外洩的帳戶資料而遭到勒索。

Palo Alto Networks與威鋒網技術團隊已推出相關防衛服務,以檢測KeyRaider惡意程式並識別被盜用的憑證。

欲了解更多KeyRaider惡意程式的資訊和攻擊方式,請瀏覽網誌全文:http://researchcenter.paloaltonetworks.com/2015/08/keyraider-ios-malware-steals-over-225000-apple-accounts-to-create-free-app-utopia/

*威鋒網技術團隊是中國民間的技術織,成員包括中國最大的Apple 愛好者網站之一威鋒網的會員

# # #

關於 PALO ALTO NETWORKS

Palo Alto Networks 為引領網絡安全新時代的新一代安全企業,可為全球數以千萬計的企業保護應用程式,免受網絡威脅。Palo Alto Networks極具顛覆性的安全平台所提供的安全性遠高於傳統或單項產品,採用創新方法及高度差異化的網絡威脅防禦功能,確保企業營運安全,並保護企業最重要的資產。更多資訊請瀏覽 www.paloaltonetworks.com

熱門新聞

Advertisement