มีการแจ้งเตือนผู้ที่ทำการเจลเบรค iOS จาก Palo Alto Networks หลังพบมัลแวร์บน iOS เป็นครั้งแรก มันถูกเรียกชื่อว่า “AppBuyer” โดยมันจะทำงานบนเครื่องที่เจลเบรคทั้ง iPhone, iPad และ iPod touch อันตรายของมันคือจะทำการขโมย Apple ID ของเราทั้ง Username และ Password ส่งไปยังเซิฟเวอร์ของผู้โจมตี ซึ่งหากเค้าได้ไปแล้ว แฮกเกอร์จะสามารถดาวน์โหลดและซื้อแอพฯผ่าน Apple ID ของเราได้
ยังไม่มีความชัดเจนว่า AppBuyer ถูกติดตั้งบน iOS ที่เจลเบรคแล้วได้อย่างไร แต่ผู้เชี่ยวชาญฟันธงว่าเกิดจากการติดตั้ง Tweak ใน Cydia จากแหล่งที่เป็น Third-party โดยพวกนี้จะเถื่อนและอาจมีการติดตั้ง “Trojan.iOS.AdThief” เข้าไปโดยที่เราไม่รู้ตัว อย่างไรก็ตาม AppBuyer ไม่ใช่มัลแวร์ตัวแรกที่พบบน iOS ช่วงต้นปีก่อนหน้านี้มีการค้นพบมัลแวร์ที่มีชื่อว่า AdThief ที่จะดักโฆษณาในแอพฯบนเครื่องอขงเราเพื่อดึงยอดคนดูไปยังแฮคเกอร์ทำให้ได้ เงินจากโฆษณาตรงนี้ไปแทนผู้พัฒนา
สำหรับคนที่สงสัยว่าเครื่องของตนเองจะติดมัลแวร์หรือเปล่า ลองใช้ iFunBox หรือ iFile เข้าไปเช็คที่ตำแหน่งด้านล่างนี้ครับ เพื่อตรวจสอบว่ามีไฟล์โทรจันหรือไม่
- /System/Library/LaunchDaemons/com.archive.plist
- /bin/updatesrv
- /tmp/updatesrv.log
- /etc/uuid
- /Library/MobileSubstrate/DynamicLibraries/aid.dylib
- /usr/bin/gzip
หากพบว่ามีการลบทิ้งโดยตรงไม่สามารถหยุดการโจมตีได้นะครับ เราจำเป็นต้อง Restore เครื่อง เพื่อย้อนการตั้งค่ากลับไปเป็นจากโรงงานผ่าน iTunes เท่านั้น สามารถอ่านการโจมตีอย่างละเอียดได้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น