Un Malware mystérieux cible les iBidules jailbreakés

En fin de semaine dernière, Reddit bruissait à propos d’une mystérieuse épidémie de plantages concernant des iBidules, lesquels présentaient tous la particularité d’être jailbreakés. Stefan Esser – alias @i0n1c – un membre plutôt critique de la scène “jailbreak”, par ailleurs expert en sécurité, s’est penché sur l’histoire et s’est rendu compte que ces plantages avaient certainement à voir avec un mystérieux malware, installé en fréquentant des dépôts non officiels (entendez non officiellement proposés par Cydia).

Et le malware en question est plutôt méchant : il se planque dans la fonction SSLWrite du Security.framework et scanne les buffer en cherchant des chaînes de caractères associées aux comptes Apple (login et mot de passe), qu’il tente d’envoyer à deux adresses IP, dont une seulement est active à l’heure actuelle.

La bibliothèque dynamique indiquant la présence de l’importun se situe à cet endroit :

• /Library/MobileSubstrate/DynamicLibraries/Unflod.dylib ou
• /Library/MobileSubstrate/DynamicLibraries/framework.dylib

Pour l’heure, le vecteur de contamination n’a pas été repéré, mais il s’agit vraisemblablement d’un petit utilitaire apportant des fonctionnalités nouvelles au iBidule, un “tweak”. Comme l’appareil est jailbreaké, le malware n’a pas besoin d’un certificat valide pour opérer. Pour s’en débarrasser, les opinions divergent : simplement effacer la bibliothèque concernée, ou, ce que recommande Esser, restaurer totalement l’appareil en perdant le jailbreak au passage.

Le billet de Esser
Ars Technica