탈옥한 iOS 기기 대상으로 Apple ID와 PW 탈취 사례 발견

개요

• Reddit 이라는 커뮤니티에서 탈옥(iOS jailbreaking)한 애플 iOS 기기를 대상으로 사용자의 ID와 PW를 탈취
  하는 ‘Unflod Baby Panda’라는 악성 코드가 발견됨을 알리고 주의를 당부(‘14.04.18)
      ※ Reddit(www.reddit.com): 미국의 소셜 뉴스 사이트
      ※ 탈옥(iOS jailbreaking) : iOS의 제한을 풀어 사용자의 루트에 접근할 수 있게 함으로써, 서명되지 않은 
          코드를 실행할 수 있게 해줌

 

주요내용

• 최근 Reddit 커뮤니티에서는 애플 iOS 기기 중 탈옥한 단말에서 애플 서비스(예를 들어 iTunes)를 이용하기 
  위해 인증하는 트래픽에서 사용자의 Apple ID와 PW를 탈취하는 악성 코드인 'Unflod Baby Panda'를 발견
  했다고 게시

< 탈옥한 애플 iOS 기기에 발견된 악성 코드 Unflod.dylib >

• 보안 전문가인 Stefan Esser가 ‘Unflod Baby Panda’ 악성코드의 파일을 분석한 결과 ‘Unflod.dylib’라는 
  라이브러리를 /Library/MobileSubstrate/DynamicLibraries 폴더에  설치 및 동작
    - iOS 기기에서 다양한 애플 서비스를 사용하기 위해서는 사용자 인증이 필요하며, 해당 트래픽은 SSL로 
      암호화되어 전송되는데, 이 때 악성 코드 ‘Unflod Baby Panda’에 감염된 단말은 암호화 되기 전에 Apple 
      ID와 PW를 23.88.10.4로 전송
    ※ SSL(Secure Socket Layer): 넷스케이프사에서 전자상거래 등의 보안을 위해 개발된 SSL 프로토콜은 
       웹브라우저와 서버간의 통신에서 정보를 암호화하여 전송하는 것으로 현재는 TLS(Transport Layer 
       Security)로 표준화됨
    - 해당 IP는 미국 호스팅 업체를 통해 서비스되고 있으며, 중국인이 소유하고 있음

< Unflod.dylib 파일에서 애플 ID와 PW를 탈취하는 부분 >

• 이 악성 코드는 시디아에서 앱이나 소스를 설치하면서 침투했을 것으로 보고 있음
    ※ 시디아(Cydia, http://cydia.saurik.com)는 탈옥한 애플 iOS 기기를 대상으로 소프트웨어 패키지를 
       찾아서 내려받을 수 있게 도와주는 iOS용 응용 소프트웨어
• 다만, 해당 악성코드는 32비트 머신에서만 동작하기 때문에, iPhone 5s, iPad Air, iPad mini Retina 모델은 
  영향을 받지 않음
• Unflod Baby Panda의 감염 여부 확인 및 제거는 SSH/Terminal을 이용 /Library/MobileSubstrate
  /DynamicLibraries 폴더내에서 Unflod.dylib 또는 framework.dylib를 찾아 삭제해야 함

 

[출처]
1. http://thehackernews.com/2014/04/iphone-ios-Malware-targeting-apple-account.html
2. http://www.ibtimes.com/what-unfloddylib-malicious-ios-jailbreak-software-steals-apple-id-passwords-unsuspecting-1573771