KeyRaider: el malware de iOS que ataca dispositivos con jailbreak

KeyRaider: el malware de iOS que ataca dispositivos con jailbreak

El malware habría robado más de 225.000 cuentas antes de haber sido descubierto por un equipo de técnicos chinos.

Un equipo compuesto por investigadores de Palo Alto Networks y el grupo técnico amateur chino WeipTech, ha descubierto un sofisticado malware denominado KeyRaider, que ataca exclusivamente a dispositivos iOS modificados y habría conseguido robar más de 225.000 credenciales de usuarios de Apple, con lo que se convierte en el mayor robo de cuentas Apple ocasionado por un malware del que se tenga conocimiento.

Según las investigaciones llevadas a cabo por ambos equipos, este nuevo malware ya habría afectado a usuarios en 18 países incluyendo China, Francia, Rusia, Japón, Gran Bretaña, Estados Unidos, Canadá, Alemania, Australia, Israel, Italia, España, Singapur y Corea del Sur. Sin embargo, el equipo en China ya habría identificado la fuente de origen.

Los esfuerzos del equipo chino permitieron vincular a KeyRaider con algunas publicaciones en Weiphone, una comunidad china para teléfonos iOS con jailbreak. Posteriores análisis detectaron rastros de KeyRaider asociados a publicaciones del usuario “mischa07”, en las cuales se ofrecía métodos para hacer trampa en juegos, eliminar publicidad de las aplicaciones y otras personalizaciones de sistema.

Usando esta información, el equipo de WeipTech logró dar con un servidor que se comunicaba y almacenaba información obtenida por KeyRaider, pudiendo aprovechar vulnerabilidades de seguridad para recuperar cerca de la mitad de los datos, pero antes de completar el rescate de la información la vulnerabilidad fue reparada por los atacantes, los que se sospecha sean de nacionalidad china.

Cómo ataca KeyRaider

KeyRaider aprovecha el estado de vulnerabilidad de los iPhone con jailbreak, ya que al modificarlos pierden las protecciones que Apple provee y que limitan la procedencia de las aplicaciones que los usuarios son capaces de instalar en el dispositivo.

El malware interviene en los procesos de sistema de Cydia, aplicación para descargar apps en teléfonos con jailbreak, permitiéndole usar esos permisos para interceptar el tráfico de iTunes pudiendo controlar la cuenta de manera remota, realizar descargas no autorizadas, robo de contraseñas y certificados desde el teléfono afectado.

KeyRaider también tendría la capacidad de “secuestrar” a los dispositivos afectados, aunque solamente se tendría conocimiento de un caso de ransomware atribuible. La aparición de este malware ha servido para recordarle a los usuarios que a pesar de los beneficios que ofrece un dispositivo en este estado, ante  diferentes ataques a vulnerabilidades en iOS son los dispositivos con jailbreak los más vulnerables.