En coopération avec WeipTech, Palo Alto Networks et son unité de recherche Unit42 ont identifié 92 échantillons d’une nouvelle famille de malwares ciblant l’iOS, et agissant en toute impunité. Nous avons analysé les échantillons afin de déterminer quel était l’objectif final de leur auteur. Nous avons en outre baptisé ce malware “KeyRaider”. Nous pensons qu’il s’agit du plus important vol de comptes Apple jamais causé par un malware.
KeyRaider cible les appareils iOS débridés et est distribué en Chine via des référentiels tiers de Cydia. Au total, cette menace aurait touché des utilisateurs de 18 pays : Chine, France, Russie, Japon, Royaume-Uni, Etats-Unis, Canada, Allemagne, Autriche, Israël, Italie, Espagne, Singapour et Corée du Sud.
Le malware prend au piège les processus système à l’aide d’un hook via MobileSubstrate, puis capte les noms d’utilisateur et les mots de passe du compte Apple ainsi que l’identificateur unique global (GUID) de l’appareil, en interceptant le trafic iTunes sur l’appareil. KeyRaider dérobe les certificats et les clés privées envoyés par le service de notification Push d’Apple, vole et partage les informations d’achat sur l’App Store, et désactive les fonctionnalités de déverrouillage local et distant des iPhones et des iPads.
KeyRaider est parvenu à s’emparer de plus de 225 000 comptes Apple valides et de plusieurs milliers de certificats, de clés privées et d’accusés de réception de commandes. Le malware envoie les données volées à son serveur de commande et de contrôle (C2), lequel contient lui-même des vulnérabilités qui exposent les informations utilisateur.
L’objectif de cette attaque était de permettre aux utilisateurs de deux tweak de débridage d’iOS de télécharger des applications depuis l’App Store officiel et d’y faire des achats mais sans payer. Les tweaks de débridage sont des packages logiciels qui permettent aux utilisateurs d’exécuter des actions normalement impossibles dans iOS.
Ces deux tweaks détournent les demandes d’achats d’applications, téléchargent les comptes volés ou les accusés de réception de commande du serveur C2, puis émulent le protocole iTunes pour se connecter au serveur d’Apple et acheter des applications ou d’autres éléments demandés par les utilisateurs. Les tweaks ont été téléchargés plus de 20 000 fois, ce qui laisse supposer qu’environ 20 000 utilisateurs exploitent frauduleusement les 225 000 informations personnelles subtilisées.
Certaines victimes ont fait savoir que leurs comptes Apple volés font état d’un historique d’achats d’applications anormal. D’autres sont confrontés à un rançonnement de leur téléphone.
Palo Alto Networks et WeipTech ont mis à disposition des services qui détectent le malware KeyRaider et identifient les informations personnelles volées.