Er is nieuwe malware gevonden die Apple ID’s en wachtwoorden van gejailbreakte iOS-apparaten steelt en doorstuurt naar Chinese hackers. Gebruikers van discussiesite Reddit ontdekten de malware omdat deze bepaalde apps regelmatig laat crashen.

Het is nog niet bekend wat de bron van de besmettingen is. Waarschijnlijk moet deze gezocht worden in een repository dat aan jailbreak-appstore Cydia toegevoegd kan worden. Er zijn schimmige repositories die gekraakte versies van betaalde apps bevatten. Volgens onderzoeker Stefan Esser kaapt de malware versleutelde verbindingen die een Apple ID en wachtwoord bevatten.

Jailbreakers kunnen eenvoudig checken of iOS-apparaten besmet zijn met de kwaadaardige software. Door via SSH op de iPhone in te loggen en te bekijken of er in de map “Library/MobileSubstrate/DynamicLibraries” een bestand dat “Unflod.dylib” aanwezig is. Is dit niet het geval? Dan is er geen sprake van infectie. Volgens de beveilgingsonderzoeker werkt de malware sowieso niet op 64-bit apparaten als de iPhone 5s en iPad Air.

Een deel van de kwaadaardige code. Jailbreakers die alleen apps en tweaks uit de standaard repo’s die bij Cydia geleverd worden installeren, lopen weinig risico om geïnfecteerd te worden. De malware is te verwijderen door het eerder genoemde bestand “Unflod.dylib” te deleten. De beste oplossing is echter geïnfecteerde apparaten te overschrijven met een nieuwe iOS-installatie via iTunes, maar dat maakt de jailbreak wel ongedaan.

Een technische analyse van de malware is te vinden bij Sophos Labs.