Un malware d'origine encore inconnue infecte les iPhone et iPad jailbreakés pour dérober les identifiants du compte à partir du trafic SSL chiffré. La menace a été découverte après que certains utilisateurs ont rapporté au site communautaire Reddit le plantage de certaines applications causé par un add-on à MobileSubstrate appelé Unflod. MobileSubstrate, désormais dénommé Cydia Substrate, est un framework pour terminaux jailbraikés qui permet aux développeurs d'élaborer des modifications pour iOS. Ce substrat permet d'étendre le comportement d'iOS dans des directions interdites par Apple, en utilisant autrement certaines fonctions systèmes, de façon quelquefois dangereuse, rappelle dans un billet Paul Ducklin, responsable Asie-Pacifique du fournisseur d'antivirus Sophos.

Ce nouveau malware visant iOS est parfois appelé Unflod, parfois Baby Panda. Il semble que quelqu'un ait créé une bibliothèque dynamique pour Cydia Substrate qui intercepte la fonction SSLWrite d'iOS pour lire les données avant qu'elles ne soient chiffrées et envoyées sur une connexion SSL sécurisée. La bibliothèque malveillante est dénommée Unflod.dylib, mais des instances portant le nom framework.dylib ont également été trouvées. Des chercheurs de la société de conseil en sécurité SektionEins, basée en Allemagne, indiquent que le choix du nom a peut-être quelque chose à voir avec l'existence d'une véritable modification appelée Unfold. Dès lors, il s'agirait de faire en sorte que le nom n'apparaisse pas clairement.

Peut-être une connexion chinoise

Après avoir intercepté la fonction SSLWrite, le malware surveille le trafic pour détecter des demandes d'authentification vers les services d'Apple. Il extrait alors les identifiants Apple et les mots de passe des données et les envoie vers une adresse IP. Il n'a pas été clairement établi de quelle façon la bibliothèque Unflod.dylib s'installait sur les terminaux jailbreakés, mais les utilisateurs et les chercheurs en sécurité ont émis l'hypothèse que des packages venant de référentiels non officiels soient à la source de l'infection. Certains indices pointent aussi vers une connexion chinoise, la bibliothèque étant signée numériquement avec le certificat légitime de développeur délivré par Apple en février à une personne du nom de Wang Xin. Il peut s'agir d'une fausse identité, soulignent les chercheurs de SektionEins, mais Apple devrait pouvoir enquêter à partir de cette information et fermer ce compte développeur. Quoiqu'il en soit, que le certificat soit valide ou pas importe peu parce que le code malveillant n'a pas besoin de signature numérique pour fonctionner sur les terminaux jailbreakés.

Pour l'instant, la communauté jailbreak pense qu'il suffit de supprimer le code binaire d'Unflod.dylib/framework.dylib et de changer les mots de passe et identifiants Apple pour parer à l'attaque. Toutefois, comme on ne sait toujours pas comment la bibliothèque arrive sur les terminaux et si elle transporte d'autres malwares, le seul moyen sûr de s'en débarrasser est d'effectuer une restauration complète, ce qui signifie la suppression et la perte du jealbreak, indiquent les chercheurs.