วันพุธที่ 17 กันยายน พ.ศ. 2557

เครื่องเจลเบรคระวัง ! พบมัลแวร์บน iOS



มีการแจ้งเตือนผู้ที่ทำการเจลเบรค iOS จาก Palo Alto Networks หลังบมัลแวร์บน iOS เป็นครั้งแรก มันถูกเรียกชื่อว่า "AppBuyer" โดยมันจะทำงานบนเครื่องที่เจลเบรคทั้ง iPhone, iPad และ iPod touch อันตรายของมันคือจะทำการขโมย Apple ID ของเราทั้ง Username และ Password ส่งไปยังเซิฟเวอร์ของผู้โจมตี ซึ่งหากเค้าได้ไปแล้ว แฮกเกอร์จะสามารถดาวน์โหลดและซื้อแอพฯผ่าน Apple ID ของเราได้

ยังไม่มีความชัดเจนว่า AppBuyer ถูกติดตั้งบน iOS ที่เจลเบรคแล้วได้อย่างไร แต่ผู้เชี่ยวชาญฟันธงว่าเกิดจากการติดตั้ง Tweak ใน Cydia จากแหล่งที่เป็น Third-party โดยพวกนี้จะเถื่อนและอาจมีการติดตั้ง "Trojan.iOS.AdThief" เข้าไปโดยที่เราไม่รู้ตัว อย่างไรก็ตาม AppBuyer ไม่ใช่มัลแวร์ตัวแรกที่พบบน iOS ช่วงต้นปีก่อนหน้านี้มีการค้นพบมัลแวร์ที่มีชื่อว่า AdThief ที่จะดักโฆษณาในแอพฯบนเครื่องอขงเราเพื่อดึงยอดคนดูไปยังแฮคเกอร์ทำให้ได้เงินจากโฆษณาตรงนี้ไปแทนผู้พัฒนา

สำหรับคนที่สงสัยว่าเครื่องของตนเองจะติดมัลแวร์หรือเปล่า ลองใช้ iFunBox หรือ iFile เข้าไปเช็คที่ตำแหน่งด้านล่างนี้ครับ เพื่อตรวจสอบว่ามีไฟล์โทรจันหรือไม่
/System/Library/LaunchDaemons/com.archive.plist
/bin/updatesrv
/tmp/updatesrv.log
/etc/uuid
/Library/MobileSubstrate/DynamicLibraries/aid.dylib
/usr/bin/gzip

หากพบว่ามีการลบทิ้งโดยตรงไม่สามารถหยุดการโจมตีได้นะครับ เราจำเป็นต้อง Restore เครื่อง เพื่อย้อนการตั้งค่ากลับไปเป็นจากโรงงานผ่าน iTunes เท่านั้น

chiangraicom

บทความต่างๆในเว็บเป็นประสบการณ์ล้วนๆแอดมินเขียนใว้เป็นวิทยาทานสำรับมือใหม่เรื่องบางเรื่องอาจเก่าแล้วก็ปรับเอาเองนะครับ Facebook & chiangraicom.in.th

  • Share to Facebook
  • Share to Twitter
  • Share to Google+
  • Share to Stumble Upon
  • Share to Evernote
  • Share to Blogger
  • Share to Email
  • Share to Yahoo Messenger
  • More...