AppBuyer : un dangereux malware sur les devices jailbreakés
- 👨 Raphaël Garagnon
- Il y a 10 ans (Màj il y a 10 ans)
- 💬 28
Palo Alto Networks vient de découvrir un nouveau malware : AppBuyer. Ce dernier est plutôt dangereux puisqu'il peut voler vos identifiants Apple et passer des achats !
Le malware agit en trois étapes : il commence par vérifier si un UDID (identifiant propre à chaque appareil) est disponible puis il en génère un nouveau. La deuxième étape consiste à voler l'ID Apple et le mot de passe associé à votre appareil en téléchargeant un tweak basé sur Cydia Substrate. Grâce à des algorithmes, ce dernier récupère ensuite les ID et MDP. En possession des informations nécessaires, le malware achète ensuite des applications sur l'App Store.
Comment vérifier si votre iDevice est infecté ?
Avec iFile ou DiskAid, rendez-vous aux adresses ci-dessous pour vérifier que les fichiers suivants ne sont pas présents sur votre appareil.
- /System/Library/LaunchDaemons/com.archive.plist
- /bin/updatesrv
- /tmp/updatesrv.log
- /etc/uuid
- /Library/MobileSubstrate/DynamicLibraries/aid.dylib
- /usr/bin/gzip
The Palo Alto Networks indique que si votre iPhone/iPad à quelques-uns des fichiers mentionnés ci-dessus, les supprimer peut-être une solution, mais rien n'indique que le malware ne pourra pas continuer d'agir, ils recommandent donc d'éviter le jailbreak de vos appareils et rappellent qu'un malware répondant au nom de AdThief avait déjà infecté 75 000 appareils lorsqu'ils l'avaient découvert ou encore Unflod qui peut également voler vos identifiants Apple.
Si l'on peut reprocher à Apple le manque d'options de personnalisations de nos iDevices, on ne peut rien dire sur la sécurité des firmwares qui n'ont jamais été atteints par ce type de malware pour le moment.