KeyRaider: az iOS-malware, amely Apple ID-k százezreit lopta el

A napokban a WeipTech kínai technológiai oldal tagjai (köztük egy i_82 nicknevű egyetemista) és a Palo Alto Networks kollégái közösen találtak rá egy iOS-en futó malware-re. A Palo Alto Networks elemzéséből kiderül, hogy a kémprogram-család megalkotói meglehetősen szokásos módon, az emberi tájékozatlanság-figyelmetlenség-kapzsiság hármasára építve érték el, hogy szoftverük mintegy 20 000 iOS-t futtató készülékre felkerüljön, és azokról körülbelül 225 000 Apple ID-t, titkosítási kulcsot és certificate-et lopjon el.

adat_biztonsag

Mi is történt valójában? Ellentétben az interneten máris sebesen terjedő rémhírekkel, a malware-t nem a Cydia vagy bármiféle hivatalos jailbreakelő szoftver tartalmazta. A KeyRaider ugyanis warez útján terjedt. Pontosabban egyes kínai, nemhivatalos Cydia repository-kban fellehető, az alkalmazáson belüli vásárlásokat (In-app Purchases) feltörő, azokat ingyenessé tevő tweakek tartalmazták. A Palo Alto Networks két rosszindulatú tweaket is említ név szerint: az iappstore és iappinbuy nevűeket.

Tovább olvasom

iSamurai iPhone szerviz akció

WireLurker: ha warezolsz, semmin se csodálkozz

Nem hinnénk, hogy túl nagy újdonságot mondanánk azzal, hogy nem érdemes warezolni, mert könnyen pórul járhat az ember, elvégre semmi sincs ingyen, és noha az adott alkalmazás tört verziójáért nem kellett kifizetni semmit, az még legkevésbé sem jelenti azt, hogy cserébe ne kapnánk némi pluszt is ajándékba.

adat_biztonsag

A jailbreaket a warezzal rendszeresen és következetesen összemosók már ebben az esetben is épp cinikusan összekacsintottak, mikor az is kiderült, hogy valójában nem sokat számít a WireLurker szempontjából, hogy a készülék fel van-e törve, mert a jailbreak nélküli készülékekre is fel tudta telepíteni, amit akart, mindössze egy enterprise provisioning profil segítségével. Lássuk, mit érdemes tudni róla, és mit lehet tenni ellene.

Tovább olvasom

iSamurai iPhone szerviz akció

Aid.dylib/AppBuyer: új, Apple ID-t és jelszót lopó malware jailbreakelt készülékeken

A Palo Alto Networks nemrég egy új iOS-es malware-ről számolt be, amely a jailbreakelt készülékeket képes megfertőzni, és részletesen elemezte annak működését. A malware egy úgynevezett C&C szerverhez (command-and-control, botnet) kapcsolódva megpróbál kártékony kódot letölteni és lefuttatni az érintett készüléken, amely kód hozzákapcsolódik a hálózatkezelő API-hoz, és így a forgalmat figyelve ellopja a felhasználó Apple ID-ját és az ahhoz tartozó jelszót. Ha ezeket megszerezte, azt feltölti a támadó szerverére, majd megpróbál az áldozat nevében alkalmazásokat letölteni az App Store-ból. Ennek a tulajdonságának köszönhetően kapta az AppBuyer nevet.

adat_biztonsag

Az AppBuyer-t először 2014. május 18-án említette a WeiPhone Technical Group négy tagja. Az egészre úgy derült fény, hogy segítséget nyújtottak egy felhasználónak, aki azt tapasztalta, hogy a jailbreakelt készülékére időnként olyan alkalmazások töltődtek le, amelyeket ő maga egyébként nem vásárolt meg. Így vettek észre két, nem odaillő fájlt a készülékén, és ezeket megvizsgálva kiderült, hogy azok a felelősek mindezért. Végül megpróbálták a támadót azonosítani néhány kísérlettel, de azt nem magyarázták el, hogy a malware pontosan hogyan is működik. A malware-t irányító és kiszolgáló szerver ugyanakkor jelenleg is működik, így adott esetben ez érinthet egyeseket, ezért nézzük kissé részletesebben, miről is van szó.

Tovább olvasom

iSamurai iPhone szerviz akció

Spad.dylib/AdThief – már 75.000 készülék termel bevételt a “reklámfogóknak”

Nem meglepő módon az iOS esetén jóformán alig lehet malware-ekről beszélni, így amikor egy-egy ilyen valahogy mégis előfordul, az szinte azonnal akkora figyelmet kap, hogy hamar megoldás is születik rá. Legutóbb ez történt az unflod.dylib esetén is, ami a jailbreakes felhasználókat érintette, és az Apple ID-kat valamint az azokhoz tartozó jelszavakat továbbította egy vélhetően kínai szerverre. Ez persze elég egyszerűen orvosolható volt, ahogy azt a korábbi cikkünkben is leírtuk.

AdThief_01

A legújabb malware, ami az AdThief nevet kapta (teljes nevén iOS/AdThief.A!tr), valójában már márciusban előkerült, és ellentétben az unflod.dylib tevékenységével, ez nem a felhasználókat, hanem inkább azokat a fejlesztőket károsítja meg, akik különféle reklámszolgáltatók segítségével szereznek plusz bevételt az alkalmazásaikban megjelenő reklámok után. Az AdThief ugyanis módosítja az így kiszolgált reklámok forrását, és ezért a megjelenő reklám után már nem kap az adott fejlesztő bevételt, mert az már nem az ő ID-ján keresztül, vagy nem a vele szerződött reklámkiszolgálótól érkezik. A malware működéséhez jailbreak szükséges, mivel mindezt egy Cydia Substrate kiegészítő segítségével teszi, és így megtalálni szintén viszonylag egyszerű. Az viszont egyelőre nem derült ki, hogy hogyan kerül a malware a fertőzött készülékre, de kijelenthető, hogy ebben az esetben sem maga a jailbreak a hibás (hiszen annak alapból nem része a Cydia Substrate!), hanem a különféle feltört csomagokat tartalmazó warez-source-ok. De lássuk részletesebben.

Tovább olvasom

iSamurai iPhone szerviz akció

Leállt a Hackulo.us: nincs többé Installous?

Aki rendszeresen látogatta a Hackulo.us oldal fórumát, az talán már sejthette, hogy valami nem stimmel, mert az kezdett egyre inkább kihalttá válni. Mostanra viszont az oldal is teljesen leállt.

A Hackulo.us volt az az oldal, aminek a Cydia source-áról letölthető volt az Installous nevű alkalmazás, amivel sok jailbreakelő az App Store fizetős alkalmazásait töltötte le, tört állapotban, és így fizetés nélkül. Persze ez ellen az Apple folyamatosan próbál tenni, így az egyes fájlmegosztók is folyamatosan törlik a warezolt alkalmazásokat.

Ha most az oldalra látogatunk, a korábban megszokottak helyett csak a következő szöveget fogjuk ott találni:

hackulo_vege

Ez szabad fordításban a következőt takarja:

Jó éjt, királyfi. (részlet a Hamletből, Ötödik felvonás, 2. szín -szerk.)

Sajnálattal jelentjük be, hogy a Hackulous leáll. Az évek során a közösség pangóvá, a fórum pedig szellemvárossá vált. A csapatunk odaadása ellenére egyre nehezebbé vált a közösség online tartása, és a fórum moderálása. Hihetetlenül hálásak vagyunk az évek során kapott támogatásért, és reméljük, hogy egy újabb, nagyobb közösséget eredményez a hiányunk.

Ezzel egyidőben leállt az oldal Cydia source-a, és már az Installous sem működik. Hogy lesz-e később folytatás, és működik-e majd újra az Installous, az jó kérdés, de nem kell csodálkozni, ha nem.

A Hackulo.us egyébként nem az első, és valószínűleg nem is az utolsó olyan oldal, ami a warez miatt áll le. Korábban az Appulo.us járt ugyanígy, és bármi más, hasonló oldal is nagyjából ugyanerre a sorsra számíthat.

appulo_vege

És hogy csökken-e ezzel párhuzamosan a warez mennyisége, vagy aránya? Az elején biztosan, hiszen már nem lesz olyan egyszerű a dolog, hogy csak feltelepítjük az Installoust, keresünk benne, kiválasztjuk az appot, letölti, telepíti… De ez is csak egy újabb macska-egér játék, így előbb vagy utóbb előbukkan majd egy újabb oldal, ahol majd újból elérhetőek lesznek a tört alkalmazások, talán még az Installoust is frissítik, hogy működjön vele, és kezdődik a hajsza elölről.

(Persze aki akar, az már most is találhat alternatívát.)

Frissítés: áll az apptrackr is

Nem tűnik meglepőnek, hogy az Installous hátterét adó apptrackr is leállt. Itt nincs kiírva semmi, az oldal egyszerűen csak nem tölt be:

apptrackr_vege

iSamurai iPhone szerviz akció