Nuevo «Malware» en iPhone con Jailbreak

Para dar las gracias debes entrar o registrarte en el foro

iMiembro Pro 7G
iMiembro Pro 7G
Mensajes: 5630 Agradecido: 990
01 Oct 2014, 22:05# 1


Aparece otro Caso de Malware en IPhones con Jailbreak


Texto citado
Realizar jailbreak a nuestro dispositivo iOS abre brechas de seguridad importantes, por eso tenemos que ser muy cautelosos con todo lo que instalamos a partir de ese momento o nos podemos llevar desagradables sorpresas.

En las últimas horas se ha registrado la presencia de un software malicioso conocido como Xsser mRAT que usa ingeniería social para robar datos de valor de los usuarios. Este malware afecta a los dispositivos que tengan jailbreak hecho, ofreciéndoles un link de instalación junto a técnicas de phising, todo con el fin de que caigamos en el engaño y les abramos las puertas a todos nuestros datos sensibles. Una vez instalado, hace falta un reinicio del iPhone para que comience a funcionar y a partir de ahí, incluso es capaz de actualizarse dinámicamente.

Xsser mRAT ha sido creado por hackers procedentes de China y es capaz de extraer una gran cantidad de información personal, incluyendo nuestra agenda de contactos, mensajes SMS, registros de llamadas, nuestra posición geográfica aproximada obtenida por triangulación de las antenas, fotografías almacenadas y, por supuesto, contraseñas y datos de autentificación para acceder a nuestro Apple ID, cuentas de correo electrónico y otros servicios.

Por si te parece poco, el software malicioso también es capaz de obtener datos del dispositivo sobre el que se ejecuta para conseguir la versión de iOS que tenemos instalada, la dirección MAC, nuestro número de teléfono, el IMEI o el modelo de terminal que tenemos.Xsser mRAT ha sido creado por hackers procedentes de China y es capaz de extraer una gran cantidad de información personal, incluyendo nuestra agenda de contactos, mensajes SMS, registros de llamadas, nuestra posición geográfica aproximada obtenida por triangulación de las antenas, fotografías almacenadas y, por supuesto, contraseñas y datos de autentificación para acceder a nuestro Apple ID, cuentas de correo electrónico y otros servicio.

¿Qué hacer para protegerse de Xsser mRAT?

Si tu dispositivo iOS no tiene jailbreak puedes estar tranquilo, no tienes ningún tipo de peligro. Si en cambio tienes jailbreak, entonces tienes que tener cuidado a la hora de abrir links de usuarios desconocidos que puedas recibir a través de Whatsapp, iMessage u otros clientes de mensajería instantánea.

Como siempre, el sentido común es el mejor de nuestros aliados.


Vía | ActualidadiPhone
Última edición por pivek el 02 Oct 2014, 12:19, editado 1 vez en total
Gracias  
2 personas han dado las gracias: Akuariodjinn
Etiquetado en:
iMiembro 5G
iMiembro 5G
Mensajes: 185 Agradecido: 49
02 Oct 2014, 00:40# 2

El artículo no es muy riguroso que digamos, porque dice que el problema está en abrir enlaces de usuarios desconocidos en aplicaciones de mensajería (probablemente usuarios falsos, generados por el malware) para no ir a páginas web malintencionadas con el objeto de sacar información del dispositivo y del usuario. No, el problema no es ése, porque esos enlaces no se generan porque sí, sino porque el programa malicioso se ha instalado previamente por la instalación de otro programa supuestamente benigno. A este tipo de malware se le llama caballo de troya.

El problema lo explica perfectamente el diagrama en inglés y es el de siempre: que Cydia es una tienda con poca o nula vigilancia, y siempre hay repositorios chinos que tienen paquetes con apps que llevan dentro este tipo de regalitos. Esto mismo ya sucedió con el Unflod. Lo que hay que hacer es NO instalar NADA que no venga de un repositorio conocido y menos de China.

Y una duda que me queda: ¿Sólo afecta al iPhone? ¿Qué pasa con el iPad?

Última edición por djinn el 02 Oct 2014, 01:10, editado 1 vez en total
Gracias  
1 persona ha dado las gracias: pivek
iMiembro 5G
iMiembro 5G
Mensajes: 185 Agradecido: 49
02 Oct 2014, 01:09# 3

Aprovecho para incluir cómo detectar al susodicho bicho, ya que el artículo no explica cómo detectarlo para ver si el usuario está infectado.

Instalad la aplicación Mobile Terminal a través de Cydia (se encuentra en uno de los repositorios estándar de la herramienta, no es necesario añadirlo) o bien OpenSSH desde la misma tienda si queréis llevar a cabo los pasos desde un ordenador (mucho más cómodo). Ejecutad la app en el dispositivo o un programa terminal como putty en vuestro ordenador, y escribid lo siguiente en la consola de comandos:

Código: Seleccionar todo
ls /bin/*0day*

Si os aparece No such file or directory, entonces es que estáis limpios. En cambio, si aparece un listado de archivos, estáis infectados y tenéis que eliminarlos como usuario 'root'.

IMPORTANTE: El siguiente procedimiento lo he escrito en base a la información publicada por pivek y es de mi propia cosecha. No me responsabilizo de posibles daños que pueda causar a vuestro terminal.

1. Identificaros como 'root' escribiendo
Código: Seleccionar todo
su

y poniendo la contraseña de root. Si no la habéis cambiado, será alpine.

2. Eliminad el servicio malicioso de la memoria:
Código: Seleccionar todo
launchctl unload /Library/LaunchDaemons/com.xsser.0day.iphone.plist

3. A continuación borrad todos los archivos del malware:
Código: Seleccionar todo
rm /bin/{*0day*,iLib*.dylib,iVersion,debuglogFile.log,recvDate} /Library/LaunchDaemons/*xsser*

4. Finalmente, reiniciad el dispositivo escribiendo:
Código: Seleccionar todo
reboot


Espero que os sea útil.

EDITADO: REVISADO SIGUIENDO LA INFORMACIÓN DISPONIBLE EN LACOON.
Última edición por djinn el 03 Oct 2014, 00:37, editado 6 veces en total
Gracias  
2 personas han dado las gracias: Ravepivek
iMiembro Pro 7G
iMiembro Pro 7G
Mensajes: 5630 Agradecido: 990
02 Oct 2014, 02:24# 4

La publicación es solo una cita referencial de este artículo en la Web de ActualidaiPhone y publicado aquí solo como información noticiosa.

Nos alegramos que djnn profundizara y enriqueciera aun mas su contenido. Incluso, sus recomendaciones de cuño propio aportan un valor incalculable a este iPadForos. Seguro que vendrán muchos atraídos por la «cura» al Xsser mRat.

Pero si hay una moraleja laica que sacar de este Malware; si, el JB vulnera la seguridad de l iOS y si es verdad que los que no tenemos JB desde el iOS 6 tenemos este y muchos otros problema de menos.

Gracias  
iMiembro Pro 3G
iMiembro Pro 3G
Mensajes: 1417 Agradecido: 355
02 Oct 2014, 03:00# 5

Parece que el troyano en cuestión está desarrollado por el gobierno chino, para controlar a los estudiantes de Hong Kong.

Por favor, las dudas en el foro, los mensajes privados no ayudan a los demás
Gracias  
iMiembro Pro 7G
iMiembro Pro 7G
Mensajes: 5630 Agradecido: 990
02 Oct 2014, 03:59# 6

mmmmmm........ emo:-:20 ...¿o sea, que el estado natural de los estudiantes chinos es tener un iPhone con Jailbreak?

¿y que haría el gobierno Chino si esos estudiantes simplemente deciden eliminar el Jailbreak de sus iPhones o aplicar la «cura» de djinn propuesta en este mismo post?

wowo... que gobierno tan estúpido, hasta ahora le ganan a la CIA emo:-:9

Última edición por pivek el 02 Oct 2014, 12:17, editado 1 vez en total
Gracias  
iMiembro 5G
iMiembro 5G
Mensajes: 185 Agradecido: 49
02 Oct 2014, 12:14# 7

He corregido el método de eliminación siguiendo la información ampliada de la web que recomiendan en un comentario de ActualidadIphone. Puede ser necesario descargar primero el servicio malicioso de la memoria antes de poder borrar los archivos del troyano.

REPITO: Este procedimiento no ha sido probado de ninguna manera y no garantizo su eliminación ni me responsabilizo de cualquier daño causado al terminal.

Gracias  
iMiembro 5G
iMiembro 5G
Mensajes: 185 Agradecido: 49
02 Oct 2014, 17:03# 8

¿Alguien me puede explicar cómo dejar un comentario en actualidadiphone.com o actualidadipad.com? Estoy intentando informar a la gente sobre el método que he puesto arriba. Envío el comentario pero no me lo acepta (¿hay moderación previa?). Lo he hecho tanto con cuenta de correo como con cuenta de Google+.

Gracias.

Gracias  
iMiembro Pro 7G
iMiembro Pro 7G
Mensajes: 5630 Agradecido: 990
02 Oct 2014, 17:47# 9
djinn escribió:¿Alguien me puede explicar cómo dejar un comentario en actualidadiphone.com o actualidadipad.com? Estoy intentando informar a la gente sobre el método que he puesto arriba. Envío el comentario pero no me lo acepta (¿hay moderación previa?). Lo he hecho tanto con cuenta de correo como con cuenta de Google+.

Gracias.


ActualidadiPad tiene un FORO, entiendo que entrando y comentando ahí puedes postear la "cura" para el Xsse mRat. Igual un FORO para ActualidadiPhone.
Gracias  
1 persona ha dado las gracias: djinn
iMiembro 5G
iMiembro 5G
Mensajes: 185 Agradecido: 49
03 Oct 2014, 00:19# 10
pivek escribió:
djinn escribió:¿Alguien me puede explicar cómo dejar un comentario en actualidadiphone.com o actualidadipad.com? Estoy intentando informar a la gente sobre el método que he puesto arriba. Envío el comentario pero no me lo acepta (¿hay moderación previa?). Lo he hecho tanto con cuenta de correo como con cuenta de Google+.

Gracias.


ActualidadiPad tiene un FORO, entiendo que entrando y comentando ahí puedes postear la "cura" para el Xsse mRat. Igual un FORO para ActualidadiPhone.

Gracias, ya me he registrado en el foro y he preguntado a un moderador a qué puede deberse por qué no puedo publicar ningún comentario. A ver si sale mi comentario en la noticia, porque ya hay gente que quiere hacer la prueba de detección.

Y por cierto, me extraña sobremanera que los investigadores de Lacoon (los que encontraron la infección) no hayan ni siquiera informado a los usuarios de cómo detectarlo y eliminarlo para los usuarios no entendidos. Se han limitado a poner los comandos que ejecutan los scripts infecciosos para instalar el troyano dentro del sistema. No me lo explico...
Gracias  