Поддельный сайт Checkrain для джейлбрейка iOS представляет угрозу для пользователей iPhone

По словам исследователей из Cisco Talos Intelligence, существует веб-сайт, который извлекает выгоду из недостатка устаревшей iOS, чтобы обмануть пользователей iPhone. Веб-сайт под названием Checkrain обещает помочь пользователям использовать уязвимость Checkm8 для джейлбрейка своего iPhone. На самом деле, единственное, что пользователи, желающие сделать джейлбрейк, получают от Checkrain, — это неприятная инфекция и головная боль, которые следуют при попытке очистить свою систему.

Исследователи Cisco Talos сообщают о процессе заражения в своем блоге следующее:

С этим поддельным джейлбрейком Checkrain[.]com для iOS пользователю предлагается установить профиль «mobileconfig» на свое устройство iOS, полученный из hxxps://Checkrain[.]com/checkra1n.mobileconfig. Обратите внимание, что используемый SSL-сертификат — это сертификат, сгенерированный LetsEncrypt. а также имя «checkra1n» — настоящее имя доступного джейлбрейка. Настоящий сайт checkra1n не использует SSL-сертификат. Это еще один шаг, который актер, скорее всего, использовал в попытке привлечь внимание пользователя.

После загрузки и установки приложения на трамплин iOS пользователя появляется значок Checkrain. Значок на самом деле является своего рода закладкой для подключения к URL-адресу. Этот значок может выглядеть как приложение с точки зрения пользователя, но на самом деле он вообще не работает как таковое на системном уровне… вы заметите несколько перенаправлений, происходящих на устройстве iOS пользователя. В конечном итоге это происходит при мошенничестве с кликами, что приводит к нескольким цепочкам проверки, а затем завершается установкой игры для iOS с доступными покупками в приложении. Цепочка, используемая в этом процессе, включает в себя отслеживание рекламы, проверку, геолокацию и, наконец, доставку кампании. В этом случае он загружает из магазина Apple приложение для iOS под названием «POP! Слоты», игра на игровых автоматах.

Тот факт, что Checkrain может использовать SSL-сертификат LetsEncrypt, повышает доверие к веб-сайту, что, конечно же, является серьезной проблемой, которую разработчики LetsEncrypt должны исправить. Это не первый и не последний случай, когда LetsEncrypt выдает SSL-сертификаты вредоносным веб-сайтам, и это огромная проблема. Вполне вероятно, что это, наряду с тем, что пользователи iPhone не выполняют свою домашнюю работу на веб-сайте, позволило приличному количеству людей стать жертвами этой схемы кликджекинга. По данным Cisco Talos, подавляющее большинство жертв Checkrain локализовано в США. Однако эта схема стала мишенью для других стран, включая Великобританию, Францию, Нигерию, Ирак, Вьетнам, Венесуэлу, Египет, Грузию, Австралию, Канаду, Турцию, Нидерланды и Италию.

Будьте особенно осторожны при попытке сделать джейлбрейк своего iPhone, иначе вы закончите, как эти неудачники.