Rubate le credenziali da 225.000 iPhone jailbreaked

Secondo gli esperti di Palo Alto Networks, quello appena scoperto sarebbe il più ampio furto di credenziali appartenenti ad account Apple mai scoperto sino ad oggi.
Battezzato KeyRaider, il malware prende di mira gli iPhone sottoposti a jailbreaking (vedere Differenza jailbreak, root e sblocco sui dispositivi mobili) e, una volta insediatosi nel dispositivo mobile, inizia col sottrarre le credenziali d’accesso degli account utente Apple, le password personali e l’identificativo del device monitorando costantemente il traffico iTunes.

KeyRaider avrebbe già rubato le credenziali di oltre 225.000 utenti Apple oltre a migliaia di certificati digitali, chiavi private e ricevute d’acquisto.
Cosa ancora più grave è che il malware carica i dati sottratti sugli smartphone delle vittime su un server remoto (command & control) che soffre di una vulnerabilità SQL injection. In altre parole, chiunque è oggi in grado – proprio sfruttando tale vulnerabilità – di scaricare i dati razziati dal malware e pubblicati sul server.
Inviando una speciale query SQL all’applicazione web mal sviluppata, infatti, questa risponde restituendo i dati più aggiornati tramessi da KeyRaider.

Stando al dettagliato resoconto pubblicato da Palo Alto (vedere questa pagina), il malware KeyRaider sarebbe stato sviluppato per consentire ad altri utenti di scaricare app dallo store di Apple ed effettuare acquisti in-app senza pagare alcunché.

Le due app che, sfruttando i dati altrui razziati da KeyRaider, consentono di fare acquisti di app a pagamento senza pagare nulla, sarebbero state ad oggi scaricate all’incirca 20.000 volte. Ciò significa che 20.000 persone stanno attualmente abusando dei dati altrui, appartenenti ai 225.000 utenti bersagliati da KeyRaider.

I ricercatori di Palo Alto spiegano che tra le migliaia di utenti presi di mira vi sarebbero anche molti italiani.

I possessori di iPhone che non hanno effettuato il jailbreaking del loro dispositivo e non hanno scaricato app “dubbie” da store alternativi (ad esempio Cydia) non sono interessati dal problema.