AppBuyer un nuovo malware colpisce i device jailbroken

La società di ricerca Palo Alto Networks ha scovato un nuovo malware che sta colpendo i dispositivi iOS jailbroken, che prende il nome di AppBuyer, che riesce a risalire agli Apple ID e password degli utenti e ad acquistare applicazioni da App Store a loro insaputa.

Al momento non è ancora noto come tale attacco trojan riesca ad entrare sui dispositivi jailbroken, si pensa che il tutto possa avvenire mediante dei tweak Cydia relativi al substrate, oppure mediante delle utility PC. I dispositivi “infettati” lamentano la comparsa casuale di applicazioni acquistate da App Store.

Il programma è impostato per eseguire tre azioni, il download di un file EXE per generare un UDID unico, il download di Cydia substrate tweak per rubare l’ID utente e la password dell’utente attaccato, e come ultima fase, viene scaricato un programma di utilità per accedere ad App Store e acquistare applicazioni.

Al momento non è stata individuata una soluzione per arginare tale malware, anche perchè non è stata ancora individuata la modalità di attacco, ma la società di ricerca consiglia gli utenti possessori di device con jailbreak di rimanere lontani da repository sconosciute o “ombra”, che spesso contengono tweaks pirata. È inoltre possibile controllare se sul device è presente il malware AppBuyer, utilizzando un programma come iFile, iExplorer o altro software e vedere se è contenuto una delle seguenti stringhe:

• /System/Library/LaunchDaemons/com.archive.plist
• /bin/updatesrv
• /tmp/updatesrv.log
• /etc/uuid
• /Library/MobileSubstrate/DynamicLibraries/aid.dylib
• /usr/bin/gzip

| via