超20万Apple账户被窃，iOS恶意软件KeyRaider意图构建免费应用乌托邦

近日，威锋网技术组(WeipTech)根据用户报告，对可疑Apple iOS 插件进行分析，发现有超过225,000个有效Apple账户及其密码在某台服务器上被窃取。

Palo Alto Networks联合威锋网技术组 (WeipTech)已在公众环境中确认了32个最新iOS恶意软件样本，并对其进行分析以判断发起者的最终意图，为此我们已将这些恶意软件命名为“KeyRaider”。我们认为这是迄今为止，由恶意软件引起的最大Apple账户被盗事件。

KeyRaider以越狱iOS设备为目标，通过中国的第三方Cydia数据源进行分发。总体来讲，已有迹象显示该威胁已经影响到了来自18个国家的用户，包括：中国、法国、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙及韩国等。

该恶意软件通过MobileSubstrate连接系统，通过截取流经设备上的iTunes流量来窃取Apple账户的用户名、密码以及设备GUID。KeyRaider 可窃取Apple推送通知服务证书和密钥、窃取并分享App Store购买信息，令iPhone和iPad上的本地和远程解锁功能瘫痪。

KeyRaider已经成功窃取超过225,000个有效Apple账户，以及数千份证书、密钥和购买收据等。该恶意软件将窃取到的数据上传至指挥控制(C2)服务器，而该服务器本身有可能会导致用户信息泄露。

实施此种攻击的目的，可使两类iOS 越狱插件用户能够从官方App Store中下载应用，该下载可在应用程序内购买而无需实际支付。越狱插件实际上是一种软件包，可以帮助用户实现通常不可能在iOS实现的操作。

这两类插件会绑架App的购买请求，下载被盗账户或C2服务器上的购买收据，然后仿真iTunes协议并登录Apple服务器，购买应用程序或其他用户要求的项目。该插件已被下载超过20,000次，这意味着约2万名用户正在滥用225,000个被盗凭证。

一些受害者表示，他们被盗的Apple账户显示异常的App购买历史，并且其他被盗用户也表示，因为他们的手机账户被盗，他们曾遭到勒索。

Palo Alto Networks与威锋网技术组 (WeipTech)已推出相关服务，以检测KeyRaider恶意软件并识别被盗凭证。预知更多KeyRaider恶意软件的信息和攻击细节，敬请点击参考以下博文：http://researchcenter.paloaltonetworks.com/2015/08/keyraider-ios-malware-steals-over-225000-apple-accounts-to-create-free-app-utopia/