# KeyRaider > Tipo: **infostealer** · S0288 · [MITRE ATT&CK](https://attack.mitre.org/software/S0288) ## Descrição [[s0288-keyraider|KeyRaider]] é um malware iOS descoberto em agosto de 2015 pela Palo Alto Networks e WeipTech, distribuído através de repositórios Cydia não-oficiais para dispositivos iPhone e iPad com jáilbreak. Foi um dos primeiros casos documentados de malware iOS em grande escala, com mais de 225.000 contas Apple ID comprometidas provenientes de 18 países, tornando-o a maior violação de dados iOS conhecida até aquele momento. O [[s0288-keyraider|KeyRaider]] foi desenvolvido por atores com motivação financeira, utilizando as credenciais roubadas para compras fraudulentas na App Store sem que as vítimas percebessem. O [[s0288-keyraider|KeyRaider]] interceptava requisições de autenticação do cliente da Apple para roubar credenciais de conta ([[t1056-001-keylogging|T1056.001]]), extraía certificados de push de notificação e chaves privadas do keychain iOS ([[t1555-001-keychain|T1555.001]]), e coletava informações de receitas de compras da App Store e tokens de autenticação ([[t1005-data-from-local-system|T1005]]). Todos os dados roubados eram exfiltrados via HTTP ([[t1071-001-web-protocols|T1071.001]]) para um servidor C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). O malware também ransom-lockava dispositivos infectados, bloqueando o acesso e exigindo pagamento para desbloqueio - uma das primeiras implementações de ransomware móvel para iOS. O caso [[s0288-keyraider|KeyRaider]] destacou os riscos de jáilbreak em dispositivos iOS e o ecossistema de repositórios Cydia não-oficiais como vetor de distribuição de malware. Embora o iOS tenha melhorado significativamente suas defesas desde 2015, o caso permanece relevante como exemplo de ataque massivo a dispositivos Apple e como ponto de referência para análise de ameaças a plataformas móveis com controles de segurança rigorosos. **Plataformas:** iOS ## Técnicas Utilizadas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1555-001-keychain|T1555.001 - Keychain]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Detecção Detecção do [[s0288-keyraider|KeyRaider]] e ameaças similares em iOS requer policies de MDM corporativo que proíbam jáilbreak. Verificar: presença de repositórios Cydia não-autorizados em configurações de dispositivos iOS gerenciados; aplicações instaladas fora da App Store oficial; e anomalias em logs de autenticação Apple ID. A Apple fornece APIs para MDMs detectarem estado de jáilbreak. Políticas corporativas de BYOD devem incluir verificação de integridade de dispositivos iOS antes de permitir acesso a recursos corporativos. ## Relevância LATAM/Brasil O [[s0288-keyraider|KeyRaider]] afetou usuários em 18 países, incluindo potencialmente usuários brasileiros com dispositivos iOS com jáilbreak. O Brasil tem uma das maiores bases de usuários iOS da América Latina, e a cultura de jáilbreak para acesso a aplicativos pagos gratuitamente cria exposição a malware distribuído via repositórios não-oficiais. Organizações brasileiras com políticas BYOD devem incluir verificação de integridade de dispositivos iOS no processo de onboarding para mitigar riscos similares ao [[s0288-keyraider|KeyRaider]]. ## Referências - [MITRE ATT&CK - S0288](https://attack.mitre.org/software/S0288)