image

Nieuwe worm bouwt eerste iPhone botnet

vrijdag 20 november 2009, 17:17 door Redactie, 4 reacties

Na verschillende onschuldige iPhone wormen, is er nu een zeer gevaarlijke variant gesignaleerd die het eerste iPhone botnet aan het bouwen is, zo laat XS4ALL aan Security.nl weten. "Na de 5 euro idioot, Ikee met Rick Astley en Intego's Privacy, doet deze worm echt nare dingen", zegt Security Officer Scott McIntyre. De worm kan gegevens stelen, maakt verbinding met zijn makers en geeft hen volledige controle over de telefoon. Wederom lopen alleen gebruikers van een gejailbreakte iPhone of iPod Touch die SSH geïnstalleerd hebben risico. In tegenstelling tot de voorgaande twee wormen en het kwaadaardige script, richt deze zich op een gigantische reeks IP-adressen, waaronder UPC, Optus in Australië, een Hongaarse en Portugese provider, T-Mobile en vele anderen.

Vanwege de grote activiteit van de worm op het T-Mobile netwerk, ontdekte XS4ALL dat er nieuwe malware in omloop was. De worm probeert op gejailbreakte iPhones via SSH en met het standaard wachtwoord 'alpine' in te loggen. Zodra de worm binnen is, begint die zichzelf van de geïnfecteerde telefoon naar andere iPhones te verspreiden. De verspreiding gaat met name snel zodra slachtoffers thuiskomen en verbinding met het lokale draadloze netwerk maken. De worm kan dan veel sneller naar nieuwe IP-adressen zoeken, met als gevolg dat de batterij van de iPhone sneller leeg raakt.

Besmette machines installeren verschillende packages en bestanden om ook de rest van de malware te laten werken. Daarnaast heeft de worm ook een functie om de SMS database naar een bestand te dumpen. Verder vervangt de worm startup scripts en start zelf twee nieuwe processen. Eén is de SSH worm, de ander een proces dat regelmatig voor nieuwe opdrachten met een gehackte server in Litouwen verbinding maakt. Zo kan de auteur van de worm aanvullende malware installeren. Verder worden gegevens over de geïnfecteerde iPhone naar deze server in Litouwen gestuurd. Om de gebruiker buiten te houden, wordt ook het root wachtwoord gewijzigd. Doordat de server in Litouwen staat, is het lastig om die snel uit de lucht te halen.

TAN-codes
Via het update proces is het mogelijk voor de auteur om specifieke iPhones bij te werken, aangezien de worm elke machine een uniek ID-nummer meegeeft. "Dat betekent dat als de aanvallers iets in je upload map zien wat ze leuk vinden, ze je andere commando's kunnen laten uitvoeren." Hoewel de worm in Nederland zeer actief is, lijkt die zich voornamelijk op Brazilië te richten. In sommige gevallen zoekt de malware in SMS-berichten naar bepaalde activatiecodes. McIntyre vermoedt dat het mogelijk om een soort TAN-codes gaat, die men voor internetbankieren gebruikt.

De Security Officer heeft inmiddels een exemplaar naar de Finse virusbestrijder F-Secure gestuurd, die het als Ikee.B bestempelt. "Ik weet niet of het echt een variant van Ikee is of niet. Deze wijzigt niet alleen je lock scherm wat onschuldig is, dit is veel meer een iPhone botnet-maker." De worm komt ook niet overeen met Privacy.A, de malware die uit een Python script bestaat en data van aangevallen iPhones "opzuigt". "Deze doet dat niet, het is echt een worm die andere iPhones probeert te infecteren en terugbelt naar een HTTP-botnet controller." Het contact met de server in Litouwen gebeurt zonder enige encryptie. "Het versleutelen van gegevens via malware is lastig voor cybercriminelen." De malware, die al zo'n twee dagen actief is, kan de iPhone allerlei opdrachten laten uitvoeren.

Jailbreaken
Begin november werden tientallen en mogelijk honderden iPhones door een Hilversumse hacker, die McIntyre de "5 euro idioot" noemt, geïnfecteerd. De aanvaller wilde in eerste instantie 5 euro hebben, maar kwam daar later op terug. Ook de Ikee worm kwam breed in het nieuws, toch zijn er nog altijd gebruikers die het standaard wachtwoord niet hebben gewijzigd. Op de vraag of de nieuwe slachtoffers hun wachtwoord hadden moeten wijzigen, laat McIntyre weten dat deze mensen hun iPhone niet eens hadden moeten jailbreaken.

Veel mensen weten niet waar ze mee bezig zijn en installeren onbekende software op een systeem waar hun persoonlijke en gevoelige informatie op staat, zo gaat hij verder. Hij vindt dat de makers van jailbreak software ervoor moeten zorgen dat gebruikers standaard het wachtwoord moeten wijzigen. Hoeveel iPhones al besmet zijn durft McIntyre niet precies te zeggen, maar duizend noemt hij een realistisch aantal.

Is jouw iPhone ook gehackt? stuur een e-mail naar redactie@security.nl

Reacties (4)
20-11-2009, 17:42 door Anoniem
Providers zouden die telefoons gewoon moeten kunnen uitsluiten op basis van bijv. het IMEI nummer.
20-11-2009, 20:28 door rodin
Door Anoniem: Providers zouden die telefoons gewoon moeten kunnen uitsluiten op basis van bijv. het IMEI nummer.
Ik zou het niet graag hebben dat mijn telefoon zou worden afgesloten alleen maar omdat hij gejailbreaked is, want dat is waar het op neer zou komen. Ookal sluiten ze succesvol alleen telefoons af met de worm, dan betekent dat, dat de worm nòg destructiever wordt: infectie wordt meteen een afsluiting van het netwerk. Ouch!
21-11-2009, 12:24 door vinylat45
Hahahaha, doe je een jailbreak, laat je wagenwijd je mobiel openstaan.

Gewoon afsluiten die gasten.

Verder lees ik veel fora mbt jailbreaks, en het meeste dat telt is stelen van Apps, niks van vrije toegang uit principe.
22-11-2009, 16:58 door Anoniem
Je iPhone jailbreaken en geen wachtwoord op SSH zetten is even dom als met je GSM in bad gaan zitten. De waarschuwing 'verander je paswoord' komt er trouwens in grote letters op bij installatie en staat beschreven in de howto, men kan niet verantwoordelijk zijn voor domme gebruikers. IMHO dezelfde problematiek met wireless-routers die de gebruiker wagenwijd open laat staan.

vinylat45: Mijn iPhone is gejailbreaked en helemaal secure, waarom zou men mij moeten uitsluiten op basis van mijn IMEI nummer? Lijkt me op zich een even domme uitspraak als dat ze jouw GSM zouden moeten uitsluiten op basis van IMEI nummer omdat je er misschien wel domme dingen mee doet zoals in bad gaan :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.