Malware die zo'n 75.000 gejailbreakte iPhones infecteerde heeft naar schatting 22 miljoen advertenties weten te kapen, wat de malwaremaker waarschijnlijk een aardig bedrag heeft opgeleverd. De malware werd in maart van dit jaar ontdekt en deed zich voor als een plug-in voor het Cydia Substrate framework.

Dit is een platform voor gejailbreakte iOS-toestellen dat het eenvoudiger maakt om uitbreidingen voor iOS te ontwikkelen. Hoe de malware, die AdThief of ook wel Spad wordt genoemd, de toestellen weet te besmetten is nog altijd onbekend. Het doel van de malware is wel duidelijk, want die probeert advertentie-inkomsten van app-ontwikkelaars te stelen. Om geld met apps te verdienen kunnen ontwikkelaars een advertentie-ontwikkelkit gebruiken, die in de app advertenties laat zien.

Aan de hand van de getoonde advertenties wordt de ontwikkelaar vervolgens betaald. De malware vervangt echter van alle applicaties op het toestel het ontwikkelaar-ID in de gebruikte advertentie-toolkits met het ID van de malwaremaker. Daardoor worden niet de ontwikkelaars voor de in hun apps getoonde advertenties beloond, maar de malwaremaker. In totaal zouden de advertenties van 15 advertentie-toolkits worden gekaapt, zo blijkt uit nieuw onderzoek van beveiligingsonderzoekster Axelle Apvrille.

De advertentie-toolkits konden dankzij een fout van de ontwikkelaar worden achterhaald, aangezien die de debugging-informatie had laten staan. Apvrille ontdekte dankzij deze informatie ook de mogelijke naam van de malware-ontwikkelaar en wist hem zelfs te benaderen. De vermeende auteur met het alias 'Rover12421' vertelde dat hij slechts een deel van de code had ontwikkeld. Een derde partij zou de malware verder hebben verbeterd.

"Met 75.000 besmette apparaten is AdThief is niet erg verspreid. Er zijn echter een geschatte 22 miljoen gekaapte advertenties, dus de malware heeft waarschijnlijk een grote impact gehad en een behoorlijk bedrag voor de eigenaar of eigenaren opgeleverd", zo concludeert Apvrille.