Hace una semana comentábamos en Seguridad Apple el caso de las 220.000 cuentas de iCloud robadas en dispositivos con Jailbreak. La noticia surgió y se explicó que a través de tweaks maliciosos que venían con backdoors se había llevado a cabo la extracción de esta información sensible. Las especulaciones apuntaban a servidores con copias piratas de tweaks populares que podían haber sido infectadas para robar la información. El número de cuentas hace que esto haya sido un ataque a gran escala.
La gente de Palo Alto en cooperación con WeipTech ha identificado 92 muestras de una nueva familia de malware en iOS. Tras el análisis de las muestras para determinar el objetivo de éstas se denominó al malware como KeyRaider. El objetivo de este malware era robar cuentas de usuario de dispositivos iOS con Jailbreak y se distribuía a través de los repositorios de terceros de Cydia. Esta amenaza ha podido repercutir a usuarios de 18 países, entre los que se encuentra España.
El malware es procesado a través de MobileSubstrate y roba los nombres de usuario de Apple interceptando el tráfico de iTunes en el dispositivo. KeyRaider roba certificados que Apple utiliza para las notificaciones y acciones sobre la AppStore. KeyRaider, según informa Palo Alto, ha robado más de 220.000 cuentas y miles de certificados, claves privadas y recibos de compras válidos de Apple.
Encontrando KeyRaider
El ataque fue descubierto por un estudiante de la Universidad de Yangzhou y miembro de WeipTech. El grupo de WeipTech participó en el reporte de otros tipos de malware como AppBuyer o WireLurker. En Julio de 2015 la gente de WeipTech comenzó a investigar reportes de algunos usuarios de Apple que indicaban que sus cuentas habían sido utilizadas para comprar apps. Observaron que estos usuarios tenían Jailbreak en sus dispositivos y encontraron que un tweak recogía cierta información y la subía a un sitio inesperado. En este sitio encontraron una vulnerabilidad de tipo SQL Injection, la cual les permitió acceder a todos los registros de la base de datos.
Figura 1: SQL Injection en el C2 Server |
Esto llego a manos de la gente de Palo Alto que se puso a investigar el asunto rápidamente. El siguiente paso de la investigación era ver cómo se distribuía este tipo de malware encontrado por este grupo. Todo hacía indicar que Cydia y los repositorios de terceros tendrían la clave.
Distribución de KeyRaider
KeyRaider, tras realizar la investigación y hasta dónde se sabe, sólo se propagaba a través de repositorios de Cydia de Weiphone para dispositivos iOS con Jailbreak. A diferente de otras fuentes de Cydia como BigBoss o ModMyi, Weiphone proporciona la posibilidad de subir su propio contenido a los usuarios, y de este modo poder subir sus propias aplicaciones y ajustes y compartirlos con los demás.
Un usuario de Weiphone denominado mischa07 subió al menos 15 muestras de KeyRaider a su repositorio personal en lo que llevamos del año 2015. También se hardcodeó en el malware la clave de cifrado y descifrado, por lo que mischa07 es el sospechoso número 1 del malware KeyRaider.
Figura 2: Clave cifrado hardcodeada en el código |
Según el sitio web de Weiphone, algunos de los cambios que realizó mischa07 fueron descargados miles de veces.
El robo de información
KeyRaider recoge tres tipos de datos de los usuarios. Se identificaron 2 servidores C2 diferentes, top100.gotoip4.com y www.wushidou.cn. Durante análisis, estos nombres de dominio resolvieron la dirección IP 113.10.174.167. En la base de datos del dominio top100 se encontraron tres tablas help, certificate y others. KeyRaider utiliza 4 scripts de PHP en el servidor para acceder a la base de datos aid.php, cert.php, other.php y data.php.
Al analizar el código se encontró que la tabla help almacenaba más de 220.000 combinaciones de nombres de usuario, contraseña y GUID de dispositivo de Apple robados. La tabla cert almacena casi 6.000 certificados de dispositivos infectados y la clave privada que son utilizadas por el servicio de notificaciones push de Apple. Finalmente, la tabla others almacenada 3.000 entradas de GUID e información relacionada con la AppStore.
Figura 3: Información leakeada de la tabla de Cert |
Los riesgos con este tipo de malware son muchos. Incluso la posibilidad de acabar secuestrando el dispositivo es uno de los mayores temores a los que se enfrentan los usuarios, y con este tipo de malware la posibilidad existía. Según el informe de Palo Alto, se conoce algún caso en el que KeyRaider fue utilizado para llevar a cabo este tipo de práctica.
Sin lugar a la duda, KeyRaider es uno de las muestras de malware más interesantes de los últimos meses en el mundo de Apple. Simplicidad se juntaron con el potencial que da a un atacante un dispositivo con Jailbreak para llevar a cabo uno de los ataques más grandes en esta plataforma.
Wow es algo genial.
ResponderEliminar