【注意】脱獄したiPhoneやiPadからApple IDとPassを中国に送信するマルウェアが発見される

      2014/04/19


2014/4/17 JailbreakしたiPhoneなどのiOSデバイスをターゲットにした「Unflod.dylib」というマルウェアが発見されたとのこと。

What is "Unflod"?. It's a mobile substrate addon that is breaking some apps.

Unflod.dylibの動作


iOS Malware Campaign "Unflod Baby Panda" | SektionEins GmbH」によると、脱獄したデバイスが実行中のすべてのプロセスをフックして外部へのSSL接続を読み取り、デバイスの「Apple ID」と「パスワード」をアメリカのホスティングサーバを経由して中国のサーバーへ送信されるようです。

感染の経由と確認


/Library/MobileSubstrate/DynamicLibraries/Unflod.dylib

こちらのPassに「Unflod.dylib」があると感染していることになります。もし発見した場合、直接削除してください。
(iFileやafc2addをインストールして削除)

バイナリ自体はiOS 6.1SDKの「armv7」でコンパイルされているとのことです。通常のRepositoryからではなく、有料Tweakをクラックして配布している所謂「割れリポ」からインストールしたものに付随していると言われています。

解析したバイナリからのIP


「23.88.10.4」と「23.228.204.55」のIPアドレスに送信されるようです。




NetRange: 23.228.192.0 - 23.228.255.255
CIDR: 23.228.192.0/18
OriginAS: AS40676
NetName: PSYCHZ-NETWORKS
NetHandle: NET-23-228-192-0-1
Parent: NET-23-0-0-0-0
NetType: Direct Allocation
RegDate: 2013-09-19
Updated: 2013-09-19
Ref: http://whois.arin.net/rest/net/NET-23-228-192-0-1

OrgName: Psychz Networks
OrgId: PS-184
Address: 20687-2 Amar Road #312
City: Walnut
StateProv: CA
PostalCode: 91789
Country: US
RegDate: 2013-04-17
Updated: 2013-09-05
Ref: http://whois.arin.net/rest/org/PS-184

ReferralServer: rwhois://rwhois.psychz.net:4321

OrgTechHandle: NOC3077-ARIN
OrgTechName: NOC
OrgTechPhone: +1-626-549-2801
OrgTechEmail: noc@psychz.net
OrgTechRef: http://whois.arin.net/rest/poc/NOC3077-ARIN

OrgAbuseHandle: NOC3077-ARIN
OrgAbuseName: NOC
OrgAbusePhone: +1-626-549-2801
OrgAbuseEmail: noc@psychz.net
OrgAbuseRef: http://whois.arin.net/rest/poc/NOC3077-ARIN


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#



Found a referral to rwhois.psychz.net:4321.

%rwhois V-1.0,V-1.5:00090h:00 portal.psychz.net (Ubersmith RWhois Server V-2.4.0)
autharea=23.228.192.0/18
xautharea=23.228.192.0/18
network:Class-Name:network
network:Auth-Area:23.228.192.0/18
network:ID:NET-16983.23.228.204.0/25
network:Network-Name:23.228.204.0/25
network:IP-Network:23.228.204.0/25
network:IP-Network-Block:23.228.204.0 - 23.228.204.127
network:Org-Name:znznet
network:Street-Address:辽宁沈阳和平区5-1-1
network:City:沈阳
network:State:辽宁
network:Postal-Code:
network:Country-Code:CN
network:Tech-Contact:MAINT-16983.23.228.204.0/25
network:Created:20131205052358000
network:Updated:20131205052358000
network:Updated-By:abuse@psychz.net
contact:POC-Name:Network Administrator
contact:POC-Email:abuse@psychz.net
contact:POC-Phone:
contact:Tech-Name:Network Administrator
contact:Tech-Email:abuse@psychz.net
contact:Tech-Phone:
%ok

WHOISデータベースによると「23.228.204.55」がアメリカのLOS ANGELESから中国の瀋陽市(しんようし/シェンヤンし)へと通信が行われているという結果が出ます。

まとめ


「Unflod.dylib」がもし合った場合、早急に削除しAppleIDのPasswordを変更すること。(※ちなみに「Auxo 2」はUmino.dylibという名前)

クラック版のTweakがあるリポジトリは登録しない。

当たり前のことですがJailbreakすることでリスクも伴うので、自ら危険なものに手を出さないことが大事ですね。

 

この記事が気に入ったら
いいね!しよう

最新情報をお届けします

Twitter でWillFeelTipsをフォローしよう!


  関連記事

iPhone5,iPod touch5,iPad4,iPad mini対応 iOS 6.0 - 6.1 Jailbreakツール『evasi0n』リリース!10分で理解する脱獄方法

2012/9/19 iOS 6.0がリリース、その2日後の2012/9/21 i ...

SSH Toggle (Flipswitch) - 脱獄iPhoneのOpenSSHをON/OFF出来るようにするアドオン

OpenSSHをインストールしたデバイスで、SSHの機能を簡単にON/OFFでき ...

ワンタップでReboot,RespringができるSBSettings toggle『Rebootspring』

家電製品やPCなど、主に電気製品で調子が悪い時、電源をOFF/ONすると元に戻っ ...

Pasithea - iOSデバイスのコピー履歴を保存しFlipswitchでの管理や専用キーボードを追加する脱獄Tweak

iPhoneやiPadなどでコピーした履歴を保存、履歴からクリップボードにコピー ...

Windows上のUbuntu 16.04を使ってfuturerestoreを使用する方法

iPhone、iPad、iPod touchの署名されていないiOSバージョンに ...

 - Jailbreak