Woher diese Malware genau kommt, ist derzeit noch nicht bekannt. Was sie macht, hingegen schon. Als Bibliothek namens Unflod.dylib bindet sie sich in alle Prozesse ein, die auf einem iPhone, iPad oder iPod touch mit Jailbreak gestartet werden. Danach lauscht der blinde Passagier allen ausgehenden SSL Verbindungen und versucht sowohl die Apple-ID als auch Passwörter abzufangen, um sie dann unverschlüsselt Richtung China zu senden. Die empfangenden Server sollen zwar noch IP Adressen besitzen, die unter US-Kontrolle stehen, die Kunden hingegen, seien chinesische Firmen und Personen. Wie auf meinem Screenshot zu erkennen ist, ist mein iPhone 5 nicht infiziert. Das mag sicher auch daran liegen, das ich keine Repositories von unbekannten Seiten nutze.
Unflod.dylib entfernen
Das Entfernen der Malware ist im Grunde recht einfach. Am besten nutzt man dafür den Dateimanager iFile. Mit diesem wird das Verzeichnis “/Library/MobileSubstrate/DynamicLibraries/” aufgerufen. Sollte sich dort eine Unflod.dylib und Unflod.plist (auch möglich: framework.dylib und framework.plist), müssen diese Dateien gelöscht werden. Anschließend ist ein Reboot erforderlich. Das im Falle einer solchen Infektion auch das Passwort zur Apple-ID und die Sicherheitsfragen geändert werden sollen, versteht sich natürlich von selbst!
Wer kein iFile nutzen möchte, kann auch mittels Konsole und dem Befehl “grep -R ‘WANG XIN’ /Applications/” suchen. Der Name nach dem dabei gesucht wird, wurde für die Signatur des Entwickler-Zertifikats genutzt, mit dem die Malware signiert wurde. Vermutlich wird dieser Name aber nur ein Fake sein und die Person existiert gar nicht.
Wer Saurik noch bei der Suche nach dem Ursprung der Malware unterstützen möchte, sollte sich die entsprechenden Instruktionen in einem Reddit Artikel durchlesen.