Un grand méchant malware pour iBidules jailbreakés

Paloalto networks alerte les possesseurs de iBidules jailbreakés sur une nouvelle menace plutôt sérieuse qui pèse sur eux. Un malware, identifié fin main dernier, fait parler de lui. Et pour cause : il est capable d’intercepter les identifiants Apple et les mots de passe associés. Ce malware, désigné sous le nom de «AppBuyer», a été déniché par 4 membres de l’équipe de WeiPhone, alors qu’ils aidaient un utilisateur d’iPhone jailbreaké à comprendre comment il pouvait voir, périodiquement, de nouvelles apps sur son appareil, sans les avoir installées.

Paloalto networks a conduit ses recherches à partir de là et trouvé, sur l’appareil concerné, 2 fichiers étranges, qui n’avaient rien à faire là :

• /System/Library/LaunchDaemons/com.archive.plist
• /bin/updatesrv
  
  
  
  Toutes les 2 heures, le daemon launchd est lancé pour intercepter les requêtes HTTP et HTTPS initiées depuis l’appareil, à la recherche des identifiants Apple et mots de passe. S’il y parvient, il achète ensuite des applications, avec le compte de l’utilisateur, ce qui explique l’apparition de nouvelles apps sur l’appareil concerné. La première application téléchargée est un faux décompresseur gzip.

  Pour l’heure, la manière dont l’iPhone est “infecté” n’a pas été éclaircie, ni, d’ailleurs, les applications achetées en douce. La manière de se prémunir de cette menace n’est pas non plus établie. L’équipe conseille aux possesseurs d’appareils jailbreakés de vérifier si l’un des fichiers de la liste ci-dessous existe :

• /System/Library/LaunchDaemons/com.archive.plist
• /bin/updatesrv
• /tmp/updatesrv.log
• /etc/uuid
• /Library/MobileSubstrate/DynamicLibraries/aid.dylib
• /usr/bin/gzip

Si tel est le cas, il faut supposer que l’appareil est infecté,et il vaut mieux essayer à ce stade de le restaurer en virant le jailbreak. Nous vous informerons, évidemment, si cette affaire connait de nouveaux développements.