Законопослушные владельцы iOS-устройств вне опасности, рискуют лишь те, кто регулярно пользуется репозиториями Cydia. Строго говоря, им самим ничего не грозит – деятельность зловреда, согласно исследованиям аналитиков Axelle Apvrille, направлена против разработчиков софта. Их лишают дополнительного дохода от контекстной рекламы.
iOS-вирус AdThief также известен как SPAD, впервые он попал в поле зрения борцов с цифровой нечистью в марте текущего года. На iPhone и iPad с джейлбрейком проникает при установке поддельной версии расширения Cydia Substrate, а затем, окопавшись на месте, начинает подменять ID разработчиков в приложениях на иной идентификатор.
Дальше все просто – когда владелец зараженного гаджета, заинтересовавшись, кликает по рекламной ссылке, он получает то, что хочет, никаких проблем. За сам факт перехода генерируется некая сумма вознаграждения, которая должна бы поступить на счет добросовестного девелопера, а вместо этого перечисляется пиратам. По данным все той же Axelle Apvrille, таким способом «ограблено» уже 22 млн. ссылок.
AdThief имеет ориентацию на несколько крупных рекламных площадок, например, AdMobs и Mobile Ads, принадлежащих Google. Среди иных американских платформ, которые хакеры посчитали подходящими охотничьими угодьями, числятся AdWhirl, MdotM и MobClick. Плюс в официальном списке порядка десяти рекламных сетей в Индии и Китае.
По последней версии вероятным автором или членом группы создателей является китайский хакер Rover12421, он же «zerofile». Основание – публикации от его имени на тематических форумах о разработке перехватчика тех самых ID разработчиков, правда, программист всячески отрицал, что склонен к преступной деятельности. Не исключено, что так оно и есть, а кто-то более бесчестный и корыстный воспользовался чужими алгоритмами в своих целях.
Увы, никаких утилит для проверки систем с джейлбрейком на наличие данного зловреда пока не предложено – остается полагаться на удачу и здравый смысл. Если некто пренебрегает правилам сетевой безопасности и любит качать любопытные файлы со сторонних репозиториев, может смело записывать себя в группу риска. С другой стороны, гарантии того, что официальное содержимое Cydia еще не заражено, также никто не дает.