【注意】脱獄したiPhoneやiPadからApple IDとPassを中国に送信するマルウェアが発見される

2014/04/18　19:392014/04/19　18:21

2014/4/17 JailbreakしたiPhoneなどのiOSデバイスをターゲットにした「Unflod.dylib」というマルウェアが発見されたとのこと。
What is “Unflod"?. It’s a mobile substrate addon that is breaking some apps.

Contents

1. Unflod.dylibの動作
- 1.1. 感染の経由と確認
2. 解析したバイナリからのIP
- 2.1. まとめ

Unflod.dylibの動作

「iOS Malware Campaign “Unflod Baby Panda" | SektionEins GmbH」によると、脱獄したデバイスが実行中のすべてのプロセスをフックして外部へのSSL接続を読み取り、デバイスの「Apple ID」と「パスワード」をアメリカのホスティングサーバを経由して中国のサーバーへ送信されるようです。

感染の経由と確認

/Library/MobileSubstrate/DynamicLibraries/Unflod.dylib

こちらのPassに「Unflod.dylib」があると感染していることになります。もし発見した場合、直接削除してください。
（iFileやafc2addをインストールして削除）
バイナリ自体はiOS 6.1SDKの「armv7」でコンパイルされているとのことです。通常のRepositoryからではなく、有料Tweakをクラックして配布している所謂「割れリポ」からインストールしたものに付随していると言われています。

解析したバイナリからのIP

「23.88.10.4」と「23.228.204.55」のIPアドレスに送信されるようです。

NetRange: 23.228.192.0 – 23.228.255.255
CIDR: 23.228.192.0/18
OriginAS: AS40676
NetName: PSYCHZ-NETWORKS
NetHandle: NET-23-228-192-0-1
Parent: NET-23-0-0-0-0
NetType: Direct Allocation
RegDate: 2013-09-19
Updated: 2013-09-19
Ref: http://whois.arin.net/rest/net/NET-23-228-192-0-1
OrgName: Psychz Networks
OrgId: PS-184
Address: 20687-2 Amar Road #312
City: Walnut
StateProv: CA
PostalCode: 91789
Country: US
RegDate: 2013-04-17
Updated: 2013-09-05
Ref: http://whois.arin.net/rest/org/PS-184
ReferralServer: rwhois://rwhois.psychz.net:4321
OrgTechHandle: NOC3077-ARIN
OrgTechName: NOC
OrgTechPhone: +1-626-549-2801
OrgTechEmail: [email protected]
OrgTechRef: http://whois.arin.net/rest/poc/NOC3077-ARIN
OrgAbuseHandle: NOC3077-ARIN
OrgAbuseName: NOC
OrgAbusePhone: +1-626-549-2801
OrgAbuseEmail: [email protected]
OrgAbuseRef: http://whois.arin.net/rest/poc/NOC3077-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

Found a referral to rwhois.psychz.net:4321.
%rwhois V-1.0,V-1.5:00090h:00 portal.psychz.net (Ubersmith RWhois Server V-2.4.0)
autharea=23.228.192.0/18
xautharea=23.228.192.0/18
network:Class-Name:network
network:Auth-Area:23.228.192.0/18
network:ID:NET-16983.23.228.204.0/25
network:Network-Name:23.228.204.0/25
network:IP-Network:23.228.204.0/25
network:IP-Network-Block:23.228.204.0 – 23.228.204.127
network:Org-Name:znznet
network:Street-Address:辽宁沈阳和平区5-1-1
network:City:沈阳
network:State:辽宁
network:Postal-Code:
network:Country-Code:CN
network:Tech-Contact:MAINT-16983.23.228.204.0/25
network:Created:20131205052358000
network:Updated:20131205052358000
network:Updated-By:[email protected]
contact:POC-Name:Network Administrator
contact:POC-Email:[email protected]
contact:POC-Phone:
contact:Tech-Name:Network Administrator
contact:Tech-Email:[email protected]
contact:Tech-Phone:
%ok

WHOISデータベースによると「23.228.204.55」がアメリカのLOS ANGELESから中国の瀋陽市（しんようし/シェンヤンし）へと通信が行われているという結果が出ます。

まとめ

「Unflod.dylib」がもし合った場合、早急に削除しAppleIDのPasswordを変更すること。（※ちなみに「Auxo 2」はUmino.dylibという名前）
クラック版のTweakがあるリポジトリは登録しない。

当たり前のことですがJailbreakすることでリスクも伴うので、自ら危険なものに手を出さないことが大事ですね。

Jailbreak