Malware iOS : le nouveau-né s’appelle “Unflod Baby Panda”

Vous avez certainement entendu parler, ces derniers jours, d’un nouveau malware iOS au nom très particulier.

Vous entendrez soit le nom « Unflod », à cause du nom du fichier dans lequel il a été trouvé, soit le nom « Baby Panda ».

L’entreprise, qui a baptisé ce malware iOS « Baby Panda », explique que le nom « Unflod » pourrait provenir d’une faute d’orthographe commise délibérément, à partir du nom « Unfold » qui est une application tout à fait saine.

L’origine exacte du nom « Baby Panda » reste cependant très mystérieuse.

La bonne nouvelle est qu’il est très peu probable que vous tombiez dessus par hasard.

Tout d’abord, le fichier malveillant peut infecter uniquement des équipements jaibreakés, et SophosLabs n’a pas reçu, à ce jour, de retours concernant une infection plus étendue.

Ensuite, il semble que même les utilisateurs Reddit, qui sont partis à la recherche de la source de ce fichier, n’ont pas encore réussi à le localiser.

Bien sûr, cela signifie que personne ne peut encore dire quels packages, et à partir de quels référentiels non officiels l’infection pourra être initiée.

Toutefois, la difficulté pour repérer et localiser la source de ce malware iOS, rend peu probable une rencontre inattendue !

Vous trouverez, ci-dessous, un état des lieux concernant ce malware iOS (merci à Xinran Wu de SophosLabs pour le travail réalisé).

Le Malware iOS utilise Mobile Substrate pour modifier le comportement du système

Le fichier infecté s’appuie sur une fonction add-on, généralement disponible sur les équipements jailbreakés, connue sous le nom de Cydia Substrate ou Mobile Substrate.

Ce substrat vous permet d’étendre et de modifier le comportement d’iOS, par diverses techniques d’interceptions, dans des directions qui sont interdites par Apple sur des terminaux jailbreakés. Ces dernières permettent d’utiliser des fonctions systèmes pour faire d’autres choses, souvent nouvelles et intéressantes mais aussi dangereuses.

Si vous voulez installer un système d’interception grâce à CydiaSubstrate, vous pouvez les compiler dans une bibliothèque dynamique et les placer dans ce répertoire :

/Library/MobileSubstrate/DynamicLibraries/

Le fichier malveillant Unflod.dylib a été apparemment détecté à cet emplacement.

Interception de la fonction SSLWrite

Une fois chargée et initialisée, la bibliothèque « Unflod » intercepte la fonction SSLWrite, utilisée lors de l’envoie de données cryptées à travers une connexion sécurisée.

Autrement dit, le malware iOS parvient à récupérer des données confidentielles avant le cryptage nécessaire pour la transmission.

Après avoir intercepté la fonction SSLWrite, renommée sans grande surprise et inventivité replace_SSLWrite, le malware effectue les tâches suivantes :

Le fichier malveillant Unflod.dylib comporte une signature électronique d’un développeur, certifiée Apple. Je vous laisse apprécier sa valeur réelle !!

La solution ?

Si vous n’avez pas jailbreaké votre équipment iOS, vous n’avez rien à craindre.

Si vous êtes un jailbreaker mais que vous avez été prudents dans vos installations, vous n’avez probablement pas à vous inquiéter.

Cependant, au cas où, les produits Sophos ont identifié ce malware iOS sous le nom : iPh/PWS-CFX.

Bien sûr, comme un anti-virus approprié n’est pas envisageable sur un équipement iOS non-jaibreaké (de toutes les façons, rencontrer ce malware est peu probable sur ce type d’équipement), la seule solution reste Sophos Anti-Virus pour iOS.

Donc, si vous voulez scanner votre iPhone ou iPad, vous devez installer un logiciel qui vous permette d’avoir accès aux fichiers à distance, et les scanner depuis votre PC ou votre Portable.

Mais pour ce faire, vous devrez au préalable jailbreaker votre iPhone ou iPad.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

PS : Si vous autorisez l’accès à distance en installant SSH daemon, n’oubliez pas que Apple donne les mêmes mots de passe aux comptes root et mobile, sur tous les équipements iOS (Mot de passe : « alpine»). Ainsi, pour éviter tout problème lié aux mots de passe prédéfinis, si vous activez sshd, vous devez changer le mot de passe des comptes concernés.

[/vc_message][/vc_column][/vc_row]

Billet inspiré de : “New iOS malware with a funky name: “Unflod Baby Panda” par Paul Ducklin de Naked Security.

Partagez “Malware iOS : le nouveau-né s’appelle “Unflod Baby Panda” avec http://bit.ly/QA1ikY