- El malware Unflod roba los ID de las cuentas de Apple y las contraseñas desde el tráfico cifrado SSL
- Unflod crea una biblioteca de Cydia que se engancha a la función de iOS SSLWrite para leer los datos
- Se cree que la única manera segura de eliminación es una restauración completa, perdiéndo jailbreak
Un nuevo malware, de origen todavía sin determinar, ha infectado iPhones e iPads con jailbreak para robar los ID de las cuentas de Apple y las contraseñas desde el tráfico cifrado SSL.
La amenaza fue descubierta después de que algunos usuarios publicasen en Reddit que habían experimentado problemas en algunasaplicaciones, como resultado de un misterioso add-on llamado Unflod.
“Unflod permite ampliar y modificar el comportamiento de iOS de formas que han sido prohibidas por Apple en dispositivos con jailbreak, como enganchar o interceptar las funciones del sistema para que lo hagan cosas nuevas e interesante (aunque por desgracia también quizás peligrosas)“, escribió Paul Ducklin, jefe de tecnología para Asia y Oceanía del proveedor de antivirus Sophos.
Parece que se creó una biblioteca dinámica de Cydia que se enganchaba a la función legítima de iOS SSLWrite para leer los datos antes de que se cifren y se envíen a través de una conexión segura SSL. La biblioteca falsa se llama Unflod.dylib, pero también se han observado casos con el nombre framework.dylib. “La elección del nombre lo tanto, podría ser sólo un intento de ocultarlo a la vista“, según han informado investigadores de la consultora alemana SektionEins .
Después de conectar con la función SSLWrite, el tráfico de monitores de malware para las solicitudes de autenticación con los servicios de Apple, extrae los datos de los ID de Apple y contraseñas, y los envía a una de las dos direcciones codificadas de IP(Protocolo de Internet). No está claro cómo la biblioteca maliciosa Unflod.dylib se instala en los dispositivos con jailbreak, pero los usuarios y los investigadores hablan de la posibilidad de que los paquetes no oficiales podrían ser la fuente de infección.
También hay alguna evidencia circunstancial que apunta a una conexión china, la biblioteca está firmada digitalmente con un certificado de desarrollador legítimo emitido por Apple en febrero de alguien llamado Wang Xin. “Esta persona podría ser un personaje falso, víctima de un robo de certificado o realmente un involucrado“, han asegurado desde SektionEins. “Para nosotros es imposible saber, pero Apple debe ser capaz de investigar a partir de esta información y poner fin a esa cuenta de desarrollador.”
“En la actualidad la comunidad de jailbreak cree que la supresión del /binario framework.dylib Unflod.dylib y después cambiando lacontraseña del ID de Apple es suficiente para recuperarse de este ataque“, han dicho los investigadores. “Sin embargo, aún se desconoce cómo la biblioteca maliciosa termina en el dispositivo y por lo tanto también se desconoce si hay partes de malwareadicionales. Por tanto, creemos que la única manera segura de eliminación es una restauración completa, lo que significa la eliminación y la pérdida de jailbreak“.
Fuente: computerhoy
No hay comentarios:
Publicar un comentario