AppBuyer, il nuovo malware che acquista app involontariamente su iPad jailbroken: come difendersi

[adrotate banner=”1″]

Da tre anni mi sto occupando di app per iPad, in particolare per quanto riguarda le app Cydia pensate solo per iPad jailbroken.

Solo ultimamente mi sono reso conto che stanno iniziando a fuoriuscire i cosiddetti malware per iOS, ovvero programmi maligni che vengono installati sul dispositivo e che compiono azioni indipendenti dalla nostra volontà.

L'ultimo ritrovato della criminalità riguardo agli iPhone e gli iPad si chiama AppBuyer, e come dice il nome stesso il suo scopo è quello di acquistare app a pagamento da App Store; chiaramente le app acquistate saranno collegate in qualche modo a chi ha creato il malware, benché legali, e saranno molto probabilmente inutili per i nostri scopi.

Gli esperti di sicurezza ancora non sono riusciti a capire bene il funzionamento del tweak, ma è chiara la sua finalità: quella di svuotare la carta di credito collegata al nostro conto iTunes.

Mettiamo subito in chiaro che:

  • Il problema interessa solo gli utenti che hanno effettuato il jailbreak del dispositivo, mentre per gli altri non ci sono rischi;
  • Se scarichiamo tweak Cydia da repo controllate come quelle di BigBoss o Modmyi non ci saranno problemi; il malware trapela quando aggiungiamo una repository che fa comparire il messaggio “Questa repo non è sicura”. Lì dentro potrebbe essere presente il malware.

Il problema è quello di sapere se il nostro iPad è già infetto, quindi se corriamo effettivamente dei rischi: per stabilirlo abbiamo bisogno di installare il tweak iFile dalla repository di BigBoss; va bene anche la versione gratuita. Una volta installata potremo navigare tra i file e le cartelle del nostro iPad. Dovremo quindi raggiungere i seguenti percorsi:

  • /System/Library/LaunchDaemons/com.archive.plist
  • /bin/updatesrv /tmp/updatesrv.log
  • /etc/uuid
  • /Library/MobileSubstrate/DynamicLibraries/aid.dylib
  • /usr/bin/gzip

Cancelliamo i file (o le cartelle) appena indicati, ovviamente se presenti. In questo modo avremo risolto il problema, fermo restando che dobbiamo sempre fare attenzione anche in futuro alle repository da cui scarichiamo i nostri tweak.

[adrotate banner=”2″]

 

 

Published by
Administrator