La Palo Alto Networks, azienda specializzata in sicurezza informatica, ha segnalato un nuovo malware iOS che interessa i dispositivi jailbroken. Si tratta di AppBuyer ed è programmato per rubare nome utente e password dell’Apple ID, allo scopo di acquistare applicazioni su App Store.
Al momento non è chiaro come viene installato AppBuyer, ma la PA Network afferma che il procedimento può essere fatto in diversi modi, anche tramite un tweak fasullo pubblicato su Cydia. Se il dispositivo viene infetto, inizierà periodicamente a scaricare applicazioni casuali dallo store.
AppBuyer è essenzialmente un Trojan, programmato per eseguire tre azioni. In primo luogo, scaricare un file EXE per generare un UUID unico, poi scarica il tweak Cydia per rubare l’ID utente e la password, e infine scarica un programma per accedere all’App Store e acquistare app casuali.
Ovviamente, tutto questo è possibile solo su iPhone jailbroken. Per proteggersi basta stare lontano dalle repository non ufficiali di Cydia, inoltre è possibile controllare se il dispositivo contiene già AppBuyer. Se
Che cosa si può fare per difendersi da questo? Come al solito, si consiglia di stare lontano da repository sconosciuti o “ombra”, che spesso portano tweaks pirata. È inoltre possibile controllare il dispositivo (utilizzando iFile, iExplorer o altro software) per vedere se contiene uno di questi file AppBuyer:
- /System/Library/LaunchDaemons/com.archive.plist
- /bin/updatesrv
- /tmp/updatesrv.log
- /etc/uuid
- /Library/MobileSubstrate/DynamicLibraries/aid.dylib
- /usr/bin/gzip