【注意】脱獄したiPhoneやiPadからApple IDとPassを中国に送信するマルウェアが発見される

      2014/04/19


2014/4/17 JailbreakしたiPhoneなどのiOSデバイスをターゲットにした「Unflod.dylib」というマルウェアが発見されたとのこと。

What is "Unflod"?. It's a mobile substrate addon that is breaking some apps.

Unflod.dylibの動作


iOS Malware Campaign "Unflod Baby Panda" | SektionEins GmbH」によると、脱獄したデバイスが実行中のすべてのプロセスをフックして外部へのSSL接続を読み取り、デバイスの「Apple ID」と「パスワード」をアメリカのホスティングサーバを経由して中国のサーバーへ送信されるようです。

感染の経由と確認


/Library/MobileSubstrate/DynamicLibraries/Unflod.dylib

こちらのPassに「Unflod.dylib」があると感染していることになります。もし発見した場合、直接削除してください。
(iFileやafc2addをインストールして削除)

バイナリ自体はiOS 6.1SDKの「armv7」でコンパイルされているとのことです。通常のRepositoryからではなく、有料Tweakをクラックして配布している所謂「割れリポ」からインストールしたものに付随していると言われています。

解析したバイナリからのIP


「23.88.10.4」と「23.228.204.55」のIPアドレスに送信されるようです。




NetRange: 23.228.192.0 - 23.228.255.255
CIDR: 23.228.192.0/18
OriginAS: AS40676
NetName: PSYCHZ-NETWORKS
NetHandle: NET-23-228-192-0-1
Parent: NET-23-0-0-0-0
NetType: Direct Allocation
RegDate: 2013-09-19
Updated: 2013-09-19
Ref: http://whois.arin.net/rest/net/NET-23-228-192-0-1

OrgName: Psychz Networks
OrgId: PS-184
Address: 20687-2 Amar Road #312
City: Walnut
StateProv: CA
PostalCode: 91789
Country: US
RegDate: 2013-04-17
Updated: 2013-09-05
Ref: http://whois.arin.net/rest/org/PS-184

ReferralServer: rwhois://rwhois.psychz.net:4321

OrgTechHandle: NOC3077-ARIN
OrgTechName: NOC
OrgTechPhone: +1-626-549-2801
OrgTechEmail: [email protected]
OrgTechRef: http://whois.arin.net/rest/poc/NOC3077-ARIN

OrgAbuseHandle: NOC3077-ARIN
OrgAbuseName: NOC
OrgAbusePhone: +1-626-549-2801
OrgAbuseEmail: [email protected]
OrgAbuseRef: http://whois.arin.net/rest/poc/NOC3077-ARIN


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#



Found a referral to rwhois.psychz.net:4321.

%rwhois V-1.0,V-1.5:00090h:00 portal.psychz.net (Ubersmith RWhois Server V-2.4.0)
autharea=23.228.192.0/18
xautharea=23.228.192.0/18
network:Class-Name:network
network:Auth-Area:23.228.192.0/18
network:ID:NET-16983.23.228.204.0/25
network:Network-Name:23.228.204.0/25
network:IP-Network:23.228.204.0/25
network:IP-Network-Block:23.228.204.0 - 23.228.204.127
network:Org-Name:znznet
network:Street-Address:辽宁沈阳和平区5-1-1
network:City:沈阳
network:State:辽宁
network:Postal-Code:
network:Country-Code:CN
network:Tech-Contact:MAINT-16983.23.228.204.0/25
network:Created:20131205052358000
network:Updated:20131205052358000
network:Updated-By:[email protected]
contact:POC-Name:Network Administrator
contact:POC-Email:[email protected]
contact:POC-Phone:
contact:Tech-Name:Network Administrator
contact:Tech-Email:[email protected]
contact:Tech-Phone:
%ok

WHOISデータベースによると「23.228.204.55」がアメリカのLOS ANGELESから中国の瀋陽市(しんようし/シェンヤンし)へと通信が行われているという結果が出ます。

まとめ


「Unflod.dylib」がもし合った場合、早急に削除しAppleIDのPasswordを変更すること。(※ちなみに「Auxo 2」はUmino.dylibという名前)

クラック版のTweakがあるリポジトリは登録しない。

当たり前のことですがJailbreakすることでリスクも伴うので、自ら危険なものに手を出さないことが大事ですね。

 

この記事が気に入ったら
いいね!しよう

最新情報をお届けします

Twitter でWillFeelTipsをフォローしよう!


  関連記事

[opensn0w_JB] SemiAuto-tethered Jailbreak tool for iOS 7.0.4/7.1beta1 only iPhone 4 (for Mac)

先日「iPhone 4 Mac限定 iOS 7.0.3をtethered Jai ...

iPhoneのSpotlightを有効活用する脱獄アプリ「TaskMaster」「SearchCollapse」「SearchAmplius」

iPhoneやiPadのホーム画面から、キーワード検索が行える「Spotligh ...

iOS 7.1.x 脱獄ツール『Pangu_v1.0』をiOS 8 betaで動作させる方法

iOS 7.1-7.1.1脱獄ツール『Pangu』ですが、iOS 8.0 bet ...

iPhone/iPadでWindows XPを起動・実行できるエミュレータ - Bochs

JailbreakしたiPhoneやiPadなどのiOSデバイスで、Live C ...

【脱獄方法】PanguよりiOS 9.2 - 9.3.3が脱獄できるツールがリリース!

本日、PanguよりiOS 9.2~9.3.3に対応した脱獄ツール「PP Pan ...

 - Jailbreak