Компания Palo Alto Networks, специализирующаяся на сетевой безопасности, сообщила о новом трояне для iOS, заражающем джейлбрейкнутые устройства.
На данный момент доподлинно неизвестно, каким именно образом троян устанавливается в систему, однако специалисты упомянутой компании предполагают, что существует несколько путей проникновения зловредного ПО, в том числе через зараженные твики из Cydia или программы для ПК, используемые для джейлбрейка. Пользователи, чьи устройства были заражены, сообщают о периодическом возникновении на их устройствах разнообразных приложений, которые они, естественно, не покупали.
Троян выполняет три основные функции. В первую очередь он загружает файл, предназначенный для генерирования уникального UUID, затем он устанавливает специализированный твик из Cydia, который непосредственно и крадет данные Apple ID пользователя. В довершение всего троян скачивает и устанавливает утилиту, которая самостоятельно входит в App Store и покупает приложения.
Как можно защититься от этого трояна? Как правило, рекомендуется избегать неизвестных или “теневых” репозиториев, которые зачастую содержат пиратские твики.
- /System/Library/LaunchDaemons/com.archive.plist
- /bin/updatesrv
- /tmp/updatesrv.log
- /etc/uuid
- /Library/MobileSubstrate/DynamicLibraries/aid.dylib
- /usr/bin/gzip.
Вместе с тем, специалисты Palo Alto Networks сообщают, что, так как пока неизвестен способ проникновения трояна на устройство, удаление файлов AppBuyer из перечисленных папок не может служить стопроцентной гарантией того, что троян побежден полностью. Тем не менее, специалисты компании продолжают работать над способами нейтрализации угрозы.
Отметим, что появление трояна AppBuyer не является первым случаем заражения джейлбрейкнутых устройств Apple. В этом году специалисты уже сообщали и троянах AdThief и Unflod, причем последний также специализировался на краже логинов и паролей пользователей.
Смотрите также: