Nuovo malware su iOS (jailbroken): ecco come scovarlo ed eliminarlo

01 settembre 2015 di Giuseppe Migliorino (@GiusMigliorino)

Alcuni ricercatori del Palo Alto Networks hanno scoperto che un nuovo malware su iOS ha rubato circa 225.000 ID Apple, con relativa password, in Cina e in altri 17 paesi. Come sempre, il problema riguarda soltanto i telefoni jailbroken e le app non installate tramite Cydia.

Schermata 2015-09-01 alle 15.46.58

Il malware si chiama KeyRaider ed è capace non solo di rubare i dati dell’ID Apple, ma anche di bloccare in remoto i dispositivi per tenerli “in ostaggio” e chiedere una ricompensa per la riattivazione del terminale. Con questo malware, quindi, i malintenzionati possono avere accesso al nostro ID Apple, effettuare acquisti su App Store (con trasferimento su altri account posseduti da chi effettua l’attacco), e addirittura bloccare l’iPhone. Ad oggi, secondo il Palo Alto Networks sono stati infettati 225.000 dispositivi,  la maggior parte in Cina, ma tanti anche in altri 17 paesi.

Il malware colpisce solo gli iPhone jailbroken e solo con un’app presente nella repository Weiphone, che va aggiunta manualmente in Cydia.

Se pensate che il vostro iPhone sia a rischio, il Palo Alto Networks consiglia di effettuare questa operazione per rilevare e rimuovere il malware:

1. Installa openssh server tramite Cydia

2. Connettiti al dispositivo tramite SSH

3. Vai su /Library/MobileSubstrate/DynamicLibraries/ ed effettua un grep all’intero di tutti i file presenti nella directory. Se un file dylib contiene una di queste stringe:

wushidou
gotoip4
BAMU
getHanzi 

allora il tuo dispositivo è stato infettato e bisogna subito eliminare il file plist con lo stesso nome, poi bisogna riavviare l’iPhone.

AGGIORNAMENTO: il nostro utente @blackgeektuto ha realizzato un comando unico per eliminare il malware eventualmente presente su iPhone. Tutto quello che bisogna fare è copia/incollare la seguente stringa in SSH:

cd /Library/MobileSubstrate/DynamicLibraries; declare a=$(ls | grep -i -E “wushidou|gotoip4|BAMU|getHanzi”); rm -f $a

Dopo il riavvio, consigliamo di cambiare password del vostro account Apple. La Palo Alto Networks ripete ancora una volta che l’unico modo per proteggersi da questi malware è quello di non effettuare il jailbreak sui dispostivi iOS. 

[via]

REGOLAMENTO Commentando dichiari di aver letto e di accettare tutte le regole guida sulla discussione all'interno dei nostri blog.