Специалисты Palo Alto Networks обнаружили на iOS вредоносную программу AppBuyer, которой могут заразиться iPhone, iPad и iPod touch с джейлбрейком. Она крадет логин и пароль от Apple ID и передает их на сервер злоумышленника, после чего тот может совершать покупки в App Store с чужого аккаунта.
Троян скачивает на устройство пользователя запускаемый файл, генерирует уникальный код, затем скачивает твик Cydia Substrate, перехватывает все сессии HTTP и HTTPS, крадет данные Apple ID и напоследок скачивает поддельную утилиту, которая умеет залогиниваться в App Store.
Каким образом AppBuyer попадает на устройства пользователей, остается невыясненным. Возможно, она загружается через джейлбрейк-твик Cydia Substrate вместе Trojan.iOS.AdThief, через компьютер или утилиты для взлома устройств.
Обнаружить зараженные файлы можно с помощью приложений iFile или iFunBox в следующих местах:
/System/Library/LaunchDaemons/com.archive.plist
/bin/updatesrv
/tmp/updatesrv.log
/etc/uuid
/Library/MobileSubstrate/DynamicLibraries/aid.dylib
/usr/bin/gzip
Если вы обнаружите на своем устройстве этот троян, удалением зараженных файлов от него не избавиться, потребуется сброс системы к заводским настройкам.
