AppBuyer un nuovo malware che ruba Apple ID e password da dispositivi jailbroken

La società di ricerca Palo Alto Networks  ha segnalato, negli scorsi giorni, un nuovo malware che sta attaccando dei device iOS su cui è stata eseguita la procedura di jailbreak. Si chiama AppBuyer, ed è programmato per rubare un Apple ID e la password con lo scopo finale di acquistare applicazioni da App Store.

Malware

Al momento non è noto come AppBuyer riesca ad attaccare i device Apple,  l’attacco potrebbe avvenire in diversi modi, grazie anche a programma di utilità  per PC o Tweak Cydia volutamente dannosi. I dispositivi “infettati” hanno come principale problema la comparsa casuale di applicazioni scaricate da App store, all’insaputa dell’utente.

Si tratta di un programma di attacco Trojan, impostato per eseguire tre azioni:  si scarica un file EXE che genera un UDID unico,  scarica un Cydia substrate tweak per rubare l’ID utente e la password, ed infine scarica un programma di utilità per accedere ad App Store e acquistare applicazioni.

Al momento si consiglia quindi a chi possiede device jailbroken,  di stare lontano da repository sconosciute o ombra, che che spesso hanno dei tweaks pirata. È inoltre possibile controllare il dispositivo utilizzando iFile, iExplorer o altro software)per vedere se contiene uno dei file di AppBuyer:

  • /System/Library/LaunchDaemons/com.archive.plist
  • /bin/updatesrv
  • /tmp/updatesrv.log
  • /etc/uuid
  • /Library/MobileSubstrate/DynamicLibraries/aid.dylib
  • /usr/bin/gzip

I ricercatori stanno cercando di capire come si installa AppBuyer per capire anche le contromosse da porre in essere per fermarlo, visto che la sola eliminazione dei file potrebbe non essere sufficiente. La società sta lavorando sui modi per bloccare l’applicazione, compreso l’uso di URL personalizzati, DNS e le firme IPS.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *