18 國用戶齊齊中招！iOS 惡意程式成功盜取 20 多萬帳戶

近日，威鋒網技術團隊 (WeipTech) 根據用戶對 Apple iOS 可疑外掛程式的舉報進行分析，發現有超過 225,000 個有效 Apple 帳戶及其密碼被竊取及存在某伺服器上。

Palo Alto Networks 與威鋒網技術團隊已在公眾網絡識別了 32 個最新 iOS 惡意程式樣本，並對其進行分析以判斷發起者的最終意圖，亦將這些惡意程式命名為「KeyRaider」。他們認為這是目前為止，由惡意程式引起的最大型 Apple 帳戶被盜事件。

KeyRaider 以破解的 iOS 設備為目標，透過中國的第三方 Cydia 數據源進行分發。整體來說，已有跡象顯示該威脅已經影響到了來自 18 個國家的用戶，包括：中國、法國、日本、英國、美國、加拿大、德國、澳洲、以色列、意大利、西班牙及韓國。

該惡意程式通過 MobileSubstrate 連接系統，通過攔截設備上 iTunes 的流量來竊取 Apple 帳戶的用戶名、密碼以及設備GUID。 KeyRaider 可竊取 Apple 推送通知服務憑証和密鑰，竊取後再對外分享 App Store 購買資訊，導致 iPhone 和iPad 的本地和遠程解鎖功能癱瘓。

KeyRaider 現已成功竊取超過 225,000 個有效 Apple 帳戶，以及數千份憑証、密鑰和購買收據等。該惡意程式將竊取到的數據上傳至駭客的指揮控制(C2)伺服器，而該伺服器本身有外洩用戶資料的漏洞。

此種攻擊的目的將允許使用兩種越獄外掛程式的用戶在無需實際支付予官方 App Store 以下載及購買應用程式。越獄外掛程式實際上是一種程式包，讓用戶能夠執行一些正常情況不可能在 iOS 執行的指令。

這兩種類外掛程式會攫取應用程式的購買請求，下載被盜帳戶資料或 C2 伺服器上的購買收據，然後模仿 iTunes 的程序登入 Apple 的伺服器購買用戶要求的應用程式或其他項目。該外掛程式已被下載超過 20,000 次，這意味著約 2 萬名用戶正在濫用 225,000 個被盜憑證。

部份受害者表示，他們被盜的 Apple 帳戶會顯示異常的 App 購買紀錄，亦有受害者表示他們因外洩的帳戶資料而遭到勒索。

作者: Palo Alto Networks Unit 42 威脅研究分析員 Claud Xiao