Malware de iOS Roba el ID de Apple en los iPhone y iPad con Jailbreak

Un nuevo malware que roba la ID de Apple y su contraseña para comprar apps

Los chicos de Palo Alto Networks informan que recientemente se ha hallado y analizado un nuevo malware que afecta a los iPhone y iPad de Apple con Jailbreak. El malware se conecta al servidor de C&C, con el fin de descargar y ejecutar archivos maliciosos, con la intención de robar el ID de Apple del usuario y su contraseña y subirlo al servidor del atacante para simular protocolos de la manzana y comprar aplicaciones de la App Store haciéndose pasar por la víctima.

El AppBuyer fue mencionado por primera vez por los cuatro miembros del Grupo Técnico weiphone el 18 de mayo de 2014. En ese momento, prestaron ayuda a un usuario para averiguar por qué algunas aplicaciones se habían instalado en su iPhone con jailbreak, encontrando dos archivos extraños en ese dispositivo. Primeramente, averiguaron que estos archivos podrían descargar, ejecutar y borrar otros archivos ejecutables desde internet. Por último, trataron de identificar al atacante a través del análisis de nombres de dominio del servidor de C&C a través de las muestras utilizadas.

Sin embargo, el Grupo Técnico weiphone no explicó cómo los archivos eran capaces instalar otras aplicaciones en los dispositivos infectados. Por otro lado, los servidores de C&C todavía están activos en la actualidad, lo que puede afectar a más usuarios. El equipo ha hecho un análisis más profundo sobre las muestras para tratar de descubrir su mecanismo y ofrecer soluciones para eliminarlo.

Cómo funciona AppBuyer

Ahora, sabemos que este malware funciona con eficacia siguiendo tres pasos en los dispositivos:

• En la primera ejecución, se descargará un archivo ejecutable para generar un UUID único y guardarlo en /etc/uuid.

• En la segunda pasada, se descargará un tweak de Cydia Substrate para interceptar todas las sesiones HTTP/HTTPS para robar la ID de Apple y su contraseña y subirla al servidor del atacante.

• En la tercera parte, se descargará una utilidad gzip falsa que iniciara sesión en la App Store a través de la identificación del usuario y la contraseña y comprara aplicaciones.

Cómo proteger nuestros dispositivos

En primer lugar, hay que mencionar que hacer Jailbreak a nuestros dispositivos, puede conllevar unos riesgos si se instalan utilidades que provienen de fuentes con aplicaciones piratas. AdThief, un software malicioso de iOS encontrado por Palo Alto Networks en este año, ha infectado a más de 75.000 dispositivos. Otro ejemplo es Unflod, que es un malicioso Tweak de Cydia substrate, que también robará la ID de Apple de un usuario de manera similar.

Para los usuarios que ya han realizado el jailbreak sus dispositivos, aquí hay una manera para determinar si uno o algunos de estos archivos existen en el sistema de archivos. Podemos comprobar a través de iFile, iExplorer u otro software similar si existe alguno de los siguientes archivos en nuestro dispositivo:

• /System/Library/LaunchDaemons/com.archive.plist
• / Bin / updatesrv
• /tmp/updatesrv.log
• / Etc / uuid
• /Library/MobileSubstrate/DynamicLibraries/aid.dylib
• / Usr / bin / gzip (Algunos ajustes iniciales pueden crear este archivo. Es posible que se necesite para funcionar. "Strings / usr / bin / gzip | grep '223 \ 0.6 \ .250 \ .229'" para confirmar si es malicioso o no. Si la salida del comando "223.6.250.229", lo es. Gracias a Yingandyang de Reddit.)

Tal y como informan desde Palo Alto Network, si alguno de estos archivos existen, el dispositivo puede estar infectado por el malware AppBuyer. Sin embargo, puesto que todavía no se sabe cómo AppBuyer consiguió entrar al dispositivo, puede que no sea suficiente con borrar estos archivos para que nuestro dispositivo vuelva a estar seguro.

Lo único que podemos hacer para asegurarnos totalmente de que nuestro dispositivo ya no está en peligro, es restaurarlo por completo, aunque eso hará que perdamos nuestro jailbreak.

En iPadizate | Jailbreak iOS 8