newsoft
Registered User
سرویس Palo Alto Networks به تازگی خبر از شناسایی بدافزار جدیدی به نام AppBuyer داده است که بلای جان جدید آی دیوایس های جیلبریک شده است. این بدافزار با هدف به سرقت بردن نام کاربری و رمز عبور اپل آی دی ها طراحی شده و بر روی هر یک از دستگاه های آیفون، آیپد و آیپاد می تواند فعالیت کند. پس از به دست آمدن اطلاعات اپل آی دی، نتایج حاصل بر روی سرور نویسنده ی بدافزار آپلود می شوند. از این نقطه به بعد است که فرد می تواند با استفاده از اطلاعات به دست آمده به خرید از آیتونز و اپ استور بپردازد.
AppBuyer که در رده ی تروجان ها دسته بندی شده است در سه مرحله ی کلی عمل می کند. در مرحله ی نخست یک فایل اجرایی برای ساخت UUID یکتا دانلود می شود، سپس با دانلود یک توییک نوشته شده در بستر Cydia Substrate از اجرای تمامی تمهیدات امنیتی موجود در پروتکل های HTTP و HTTPS که می توانند مانع از سرقت اطلاعات شوند ممانعت به عمل می آید، و در مرحله ی نهایی یک ابزار gzip دروغین دانلود شده که در لاگین به اپ استور مورد استفاده قرار می گیرد.
در حال حاضر مشخص نیست که AppBuyer چگونه بر روی آی دیوایس کاربران نصب می شوند، اما چندین نظر مختلف در این خصوص منتشر شده است. نظیر این که احتمالا راه ورود این تروجان به دستگاه کاربر از طریق نصب کردن یک توییک در بستر Cydia Substrate با نام Trojan.iOS.AdThief است. این توییک می تواند از طریق سورس های شخص ثالث، بدافزارهای موجود برای کامپیوترها و یا ابزارهای جیلبریک کامپیوتری بر روی دستگاه نصب شود.
AppBuyer نخستین بار در اردیبهشت ماه توسط گروه WeiPhone Technical Group شناسایی شد. این شناسایی به دنبال کمک این گروه به یکی از کاربرانی صورت گرفت که مشاهده می کرد گاه به گاه و خود به خود اپلیکیشن هایی بر روی آیفون جیلبریک*شده اش نصب می شوند. آنچه این گروه یافتند دو فایل مخرب بود که فایل های اجرایی خاصی را از اینترنت دانلود و اجرا و سپس از روی دستگاه پاک می کردند.
این نخستین بار نیست که موضوع وجود بدافزار بر روی دستگاه های جیلبریک شده را می شنویم. در اوایل سال میلادی جاری نیز شرکت Palo Alto Networks خبر از شناسایی بدافزار AdThief داده بود که کار آن دزدیدن اطلاعات و درآمد آگهی های سرویس های نمایش آگهی بود.
توصیه ی گروه این است که اگر می خواهید دستگاهتان کاملاً امن بماند از جیلبریک کردن آن دوری کنید. اما در صورتی که از دست دادن جیلبریک به این منظور را منطقی نمی دانید و از سوی دیگر می خواهید خیالتان بابت آلوده نبودن راحت شود، وجود این فایل ها و فولدرها بر روی دستگاهتان را توسط یک اپلیکیشن مدیریت فایل نظیر iFile یا iFunBox چک کنید:
System/Library/LaunchDaemons/com.archive.plist
bin/updatesrv
tmp/updatesrv.log
etc/uuid
Library/MobileSubstrate/DynamicLibraries/aid.dylib
usr/bin/gzip
وجود هر یک از این فایل یا فولدرها نشان دهنده ی آلوده بودن دستگاه است. چون فعلاً منبع و منشأ این تروجان به طور کامل مشخص نیست، هیچ تضمینی نیست که با پاک کردن فایل و فولدرهای فوق دستگاهتان از وجود این بدافزار عاری شود. اگر هر یک از فایل یا فولدرهای فوق بر روی دستگاهتان موجود بود و اعتبار اپل آی دیتان نیز برایتان اهمیت داشت، شاید راه عقلانی این باشد که دستگاهتان را ریستور کنید.