AppBuyer : un dangereux malware sur les devices jailbreakés

On vante souvent les nombreux avantages du jailbreak et de toutes les fonctions qu'il offre. Malheureusement, c'est parfois aux dépens de la sécurité de nos iDevices

Palo Alto Networks vient de découvrir un nouveau malware : AppBuyer. Ce dernier est plutôt dangereux puisqu'il peut voler vos identifiants Apple et passer des achats !


Le malware agit en trois étapes : il commence par vérifier si un UDID (identifiant propre à chaque appareil) est disponible puis il en génère un nouveau. La deuxième étape consiste à voler l'ID Apple et le mot de passe associé à votre appareil en téléchargeant un tweak basé sur Cydia Substrate. Grâce à des algorithmes, ce dernier récupère ensuite les ID et MDP. En possession des informations nécessaires, le malware achète ensuite des applications sur l'App Store.



Comment vérifier si votre iDevice est infecté ?

Avec iFile ou DiskAid, rendez-vous aux adresses ci-dessous pour vérifier que les fichiers suivants ne sont pas présents sur votre appareil.

  • /System/Library/LaunchDaemons/com.archive.plist
  • /bin/updatesrv
  • /tmp/updatesrv.log
  • /etc/uuid
  • /Library/MobileSubstrate/DynamicLibraries/aid.dylib
  • /usr/bin/gzip

The Palo Alto Networks indique que si votre iPhone/iPad à quelques-uns des fichiers mentionnés ci-dessus, les supprimer peut-être une solution, mais rien n'indique que le malware ne pourra pas continuer d'agir, ils recommandent donc d'éviter le jailbreak de vos appareils et rappellent qu'un malware répondant au nom de AdThief avait déjà infecté 75 000 appareils lorsqu'ils l'avaient découvert ou encore Unflod qui peut également voler vos identifiants Apple.




Si l'on peut reprocher à Apple le manque d'options de personnalisations de nos iDevices, on ne peut rien dire sur la sécurité des firmwares qui n'ont jamais été atteints par ce type de malware pour le moment.

Vous aimerez peut-être

Nos derniers articles

Suivez-nous avec notre app iSoft
Articles populaires
Donner votre avis
Les réactions

28 Vador - iPhone premium

21/09/2014 à 21h43 :

Je pense que c tt le monde a le dossier LaunchDeamons donc mise a part ça RAS pour moi aucun de ces fichiers

27 Hakimreus

21/09/2014 à 18h52 :

Si on na un compte app store sans carte bancaire on nest concerner

26 simson25 - iPod touch

19/09/2014 à 17h38 :

Ok mrc @shaman j'ai arrêter du suer ;-)

25 Shaman - iPhone

18/09/2014 à 07h57 :

@simson25 - iPod touch

Justement il ne faut pas que tu aies ce fichier donc rassures toi ;)

24 plazza - iPhone premium

16/09/2014 à 20h56 :

Je n'ai pas ifile mais je suis quand même allé voir mon compte bancaire avec vos histoires LoL. Ça touche la France principalement ou pas du tout ?

23 Porto - iPhone

16/09/2014 à 20h26 :

@simson25 - iPod touch
T'es pas le seul moi aussi j'ai pas com.archive

22 Rob87 - iPhone

16/09/2014 à 20h23 :

@Elton John: J'ai juste résumé très rapidement la chose 😉 je ne voulais pas m'égarer avec les détails 😉


@Alexis: Moi personnellement je ne les ai jamais rentrés et sa ne ma pas posé de problème 😉

21 simson25 - iPod touch

16/09/2014 à 20h21 :

Je ne trouve pas com.archive HRLP URGENT

20 Noname - iPad

16/09/2014 à 19h21 :

Merci pour l'info
Après vérification, tout est clean!

19 soo - iPhone

16/09/2014 à 19h11 :

@Alexis - iPhone premium
Pas forcement

18 Elton John

16/09/2014 à 18h59 :

@Rob87 - iPhone :
bah tu te trompes. Moi je jailbreak pour tous les tweaks inexistant sur iOS : Adblock, Youtuber, CCControls, SafariDownloader, MyWi etc etc…

Ta vision est vraiment très réductrice.

17 Alexis - iPhone premium

16/09/2014 à 18h53 :

@Rob87 - iPhone
Parce que pour créer un compte iTunes a la base faut rentrer des données bancaires je crois.

16 Pd2g - iPhone premium

16/09/2014 à 18h33 :

Ouf rien pour moi

15 Rob87 - iPhone

16/09/2014 à 18h27 :

En faite il y a un truc que je ne saisie pas:
-L'utilité du jailbreak est de ne rien payer (dans mon optique, sans en abuser bien sur) , alors pourquoi rentrer ses codes bancaires si on ne paye rien? C'est un risque inutile...
Si je veux acheter quelque chose sur amazon par exemple je vais sur l'ordinateur (ce qui est plus sur)

14 aslio

16/09/2014 à 17h09 :

Aucun de ces fichiers dans mon iphone.

Toutefois, je ne pirate aucune app et n'utilise le JB que pour débrider des fonctions de l'iphone, avec des tweaks "officiels" des sources recommandées par cydia.

Bon c'est pas une assurance tous risques, mais je pense que ça limite très fortement les risques.

En tous cas, merci iphonetweak pour signaler ce genre de souci, même si c'est un épiphénomène qui probablement ne touchera que des imprudents qui installent n'importe quoi depuis n'importe quelle source, c'est toujours bien de se rassurer.

13 Tichocot - iPhone

16/09/2014 à 16h50 :

Après vérification aucun de ces fichiers sur mon tel!
L'info serait de savoir comment on le chope source foireuse ou autre...

12 Nicroc - iPad

16/09/2014 à 16h43 :

Je viens de vérifier pour tous j'en ai aucun ouf

11 fniiit

16/09/2014 à 15h38 :

Sinon tous ceux qui ont peur il y a une solution si vous voyez des achats sur votre compte bancaire que c'est pas vous si que vous avez ce virus, totue dépense serra vue sur votre compte bancaire et par mail il y a aucun soucie sinon

10 GPMP - iPhone premium

16/09/2014 à 14h34 :

RAS !

9 Turkish69 - iPhone

16/09/2014 à 14h06 :

J'ai tout verifié j'ai rien. J'ai quand meme eu peur en vouant ça 😝

8 xoledas

16/09/2014 à 13h54 :

@Kakika, ne t'en fait pas, gzip est une commande linux aussi, il ne faut pas non plus s'inquieter de l'avoir, ce qui compte c'est que tu n'est pas le gzip dans le repertoire mentionné par l'article

7 Kakika - iPhone

16/09/2014 à 13h45 :

Le plus simple, et ce que je vais faire par mesure de sécurité, faire sauter le jailbreak en prévision d'ios8 et changer de mot de passe.

P**ain ça me fait flipper grave cette histoire.

6 Porto - iPhone

16/09/2014 à 13h27 :

@Bø - iPhone premium
Moi j'ai cela System/Library/LaunchDaemons faut je supprime c'est sa ?

5 Kakika - iPhone

16/09/2014 à 13h24 :

J'ai gzip mais il est dans /bin et pas dans
usr/bin/gzip

Vous pensez que je l'ai ????

Help please !

4 Bø - iPhone premium

16/09/2014 à 12h43 :

@Porto - iPhone
Tous ceux de la liste.
Pour ma part j'en ai aucun.

3 pierrecoutellier - iPhone

16/09/2014 à 12h42 :

Ça commence a faire beaucoup...

2 Porto - iPhone

16/09/2014 à 12h05 :

Il faut supprimer lequels ?
Merci

1 tom2 - iPhone

16/09/2014 à 12h01 :

Du pipo encore un gars payé par apple 😶👆