Key Raider rouba 225 mil contas da Apple em aparelhos com Jailbreak; veja como se proteger

Quem realiza o Jailbreak e desbloqueia seu iPhone ganha o benefício de ter um controle maior sobre seu aparelho, além da possibilidade de realizar modificações mais profundas no sistema bastante fechado da Apple e instalar aplicativos fora do controle da empresa. O efeito colateral é que seus apps também passam a ter mais acesso ao smartphone, o que aumenta em muito possíveis brechas para que malwares entrem em ação.

A Palo Alto Networks, empresa especializada em segurança digital para empresas, divulgou um relatório onde aproximadamente 225 mil contas da Apple teriam sido comprometidas através de um malware que se dissemina por aparelhos onde foi realizado o Jailbreak. Apesar de inicialmente ter sido inserido em repositórios não oficiais de aplicativos na China, o software malicioso já foi monitorado em aparelhos no Reino Unido e Estado Unidos. No total, foram identificados 92 códigos explorando a falha, que recebeu o codinome de Key Raider.

O malware foi identificado após a WeipTech, empresa especializada em monitoramento e segurança na rede, encontrar uma base de dados com as senhas e usuários validados. Os logins eram utilizados por terceiros para realizar compras na App Store, e estimativas das duas empresa de segurança indicam que haviam até 20 mil usuários realizando transações com as contas roubadas através do Key Raider.

Mensagem de extorsão na tela de um iPhone bloqueado remotamente

Além das compras com contas roubadas, o malware também contava com um recurso de “sequestro” do aparelho. Utilizando o controle remoto do iOS, o criminoso poderia bloquear o aparelho e deixar uma mensagem pedindo “o valor do resgate” do smartphone. Outras opções de “monetização” com o ataque incluem venda dos dados para envio de spams e até promoções de apps: usando contas roubadas, seria possível aumentar o número de downloads de um aplicativo e dessa forma promovê-lo a uma posição melhor na Apple Store legítima.

Como se defender
É importante reiterar que esse problema só afeta aparelhos que utilizam o Jailbreak, e dessa forma têm acesso a um repositório de apps não oficial. Para quem fez o procedimento, dá para seguir os passos abaixo para descobrir se foi afetado:

– Instalar o servidor Openssh através do Cydia
– Conectar no dispositivo através do SSH
– Acessar o caminho /Library/MobileSubstrate/DynamicLibraries/, e usar o comando GREP para localizar os seguintes termos em todos os arquivos dessa pasta:

• wushido
• ugotoip4
• bamu
• getHanzi

Caso você encontre o termo em arquivos, o usuário deve deletar todos os plist com esse código e reiniciar o aparelho. Também é altamente recomendável modificar sua senha do seu login na conta da Apple, além de ativar a verificação em duas etapas.