Plus de 225 000 comptes d’utilisateurs de services Apple ont été compromis par un logiciel malveillant sophistiqué installé sur des terminaux iOS jailbreakés, selon Palo Alto Networks. Le jailbreak permet, rappelons le, d’installer sans bourse délier des apps payantes ou refusées par Apple sans passer par l’App Store.
Le logiciel malveillant KeyRaider, installé sur les terminaux iOS à l’insu de leurs propriétaires, a permis à des cyberpirates de récupérer des mots de passe pour usurper des comptes Apple et bloquer des appareils pour demander une rançon (ransomware). « Nous croyons que c’est la plus grand affaire de comptes Apple usurpés causé par des logiciels malveillants », a écrit Claude Xiao de Palo Alto Networks dans un billet de blog.
Apple informée le 26 aôut
Palo Alto Networks a averti Apple le 26 août dernier au sujet de KeyRaider et fourni des informations sur les comptes volés, indique M. Xiao. KeyRaider ne peut infecter que les terminaux iOS « jailbreakés », une opération qui fait sauter certains verrous d’Apple quand aux apps installables sur un iPhone ou un iPad. Depuis plusieurs années, Apple, comme Google d’ailleurs, déconseille le jailbreak (le root sur Android) pour des raisons de sécurité.
Palo Alto Networks a enquêté sur KeyRaider à l’aide d’un groupe d’étudiants chinois baptisé WeipTech. Un membre de cette équipe, qui est un étudiant à l'Université de Yangzhou, a découvert l'attaque, précise M. Xiou. KeyRaider a été incorporé dans des outils de jailbreak, des logiciels qui permettent de déverrouiller les terminaux iOS.
Un malware très entreprenant
KeyRaider exploite les ressources de Cydia, une application utilisée pour télécharger des applications et des paquets sur les terminaux jailbreakés. Le malware, qui vole compte les noms d'utilisateur et les mots de passe Apple, intercepte également tout le trafic iTunes, pour ensuite télécharger frauduleusement des applications sur le compte des victimes. Le malware recueille également des certificats, des clés privées et des reçus d'achat.
Dans un autre style d'attaque, KeyRaider a été utilisé pour au moins une tentative de ransomware. Le malware peut « désactiver tout tentative de déverrouillage, si le mot de passe ou mot de passe correct a été saisi », a écrit M. Xiao. Le groupe WeipTech a mis en place un service - en chinois seulement - afin que pour les utilisateurs vérifient si leur compte a été compromis.