AppBuyer: Scovato un malware che colpisce i dispositivi jailbroken [Ecco come difendersi]

Creato il 16 settembre 2014 da Beiphone

Palo Alto Networks ha trovato e analizzato un nuovo malware per iOS chiamato “AppBuyer” che colpisce i dispositivi jailbroken. Il malware è progettato per rubare gli ID Apple, quindi nome utente e la password di un utente per caricare le informazioni al server dell’hacker, a quel punto il malintenzionato può scaricare le applicazioni da App Store dall’account collegato.

Il malware, classificato come Trojan, opera in tre fasi. In primo luogo, scarica un file eseguibile per generare un UUID unico, poi scarica un tweak per Cydia che intercetta tutte le sessioni HTTP / HTTPS per rubare le credenziali collegate all’ID Apple, e scarica un falso utility gzip che offre l’accesso in App Store.

Non è ancora chiaro come AppBuyer sia stato installato su dispositivi iOS jailbroken, ma ci sono diverse possibilità. Questi includono l’installazione attraverso un Tweak malevolo, come “Trojan.iOS.AdThief,” ospitato nelle repository di terze parti, oppure attraverso altri malware per PC o attraverso un programma di utilità per dispositivi jailbreaking.

AppBuyer è stato originariamente portato alla luce dal Gruppo Tecnico WeiPhone a maggio, dopo di che un utente ha aiutato a scoprire il motivo per cui alcune applicazioni erano periodicamente installate su un iPhone jailbroken. Il gruppo ha scoperto due file dannosi scaricati, che eseguono e cancellano altri file eseguibili dal web.

Non è la prima volta che i dispositivi jailbroken sono vittime di malware. All’inizio di quest’anno, Palo Alto Networks anche scoperto il malware AdThief che stava tentando di rubare le impression sull’annuncio pubblicitari.

Mentre il team consiglia di astenersi dal eseguire il jailbreak sul vostro iPhone, iPad o iPod per rimanere completamente al sicuro, consigliano anche di utilizzare uno strumento come iFile o iFunBox per verificare la presenza di questi file per vedere se il dispositivo è stato infettato dal malware :

  • /System/Library/LaunchDaemons/com.archive.plist
  • /bin/updatesrv
  • /tmp/updatesrv.log
  • /etc/uuid
  • /Library/MobileSubstrate/DynamicLibraries/aid.dylib
  • /usr/bin/gzip

Poiché la fonte di questi file maligni su dispositivi jailbroken non è stata determinata, vi basterà semplicemente rimuovere i file sopra esposti, questo potrebbe non essere sufficiente a garantire la vostra sicurezza. Se vi imbattete in uno qualsiasi di quesi file, probabilmente sarebbe saggio ripristinare il dispositivo alle impostazioni di fabbrica tramite iTunes. Palo Alto Networks ha rilasciato anche le firme URL per fermare il download dei file dannosi, e sarà presto rilasciato un tool.


Potete seguirci tramite Twitter, Facebook, Google Plus oppure tramite Feed e potete scaricare la nostra App BeMobile per essere sempre aggiornati sulle ultime news che riguardano l’iPhone, iPad, Mac, Cydia e Jailbreak. Per Supporto o Assistenza, visitate il nostro Forum.


L'articolo AppBuyer: Scovato un malware che colpisce i dispositivi jailbroken [Ecco come difendersi] può essere letto su Beiphone.


Potrebbero interessarti anche :

Possono interessarti anche questi articoli :