Baby Panda أو Unfold: مالوير يستهدف أسماء مستعملي آپل على الأجهزة المثبِّتة للجيلبريك

أفصح بعض مستخدمي أپل عن وجود مكتبة خبيثة من أصل غير معروف على أجهزتهم المثبتة للجيلبريك؛ هذا المالوير أطلق عليه Unflod أو Baby Panda.
baby panda

برنامج خبيث يصيب أجهزة iPhone و iPad لسرقة بيانات اعتماد الحسابات من حركة مرور SSL المشفرة، تم اكتشافه بعد أن أبلغ بعض المستخدمين على الموقع الاجتماعي Reddit بتعطل بعض التطبيقات التي تسببها وظيفة إضافية على MobileSubstrate تسمى Unflod.
MobileSubstrate المسماة حاليا ب CydiaSubstrate هي عبارة عن إطار مخصص للأجهزة المثبتة للجيلبريك تسمح للمطورين بإدخال تعديلات على iOS, وعلى ما يبدو أن شخصا ما قام بصنع مكتبة ديناميكية ل CydiaSubstrate تقوم بتعطيل وظيفة SSLWrite ل iOS بهدف قراءة المعطيات قبل تشفيرها و إرسالها عبر إتصال SSL مشفر, وتسمى هذه المكتبة الخبيثة Unfold.dylib.
في نفس الوقت تم العثور على حالات تحمل اسم framework.dylib ، في حين فسر مجموعة من الباحثين بشركة SektionEins للاستشارة الأمنية ، أن اختيار هذا الاسم بالضبط يمكن أن تكون له علاقة بوجود تعديلات حقيقية تدعى Unfold لتضمن عدم ظهور هذا الاسم بوضوح.
أنتم تتساءلون الان عن كيفية عمل هذا المالوير، حسنا إليكم الجواب ! فبعد اعتراض وظيفة SSLWrite يقوم المالوير بمراقبة حركة المرور للكشف عن طلبات المصادقة المتجهة نحو خدمات اپل ليستخرج الهويات و كلمات المرور و يرسلها لعنوان IP,لكن لم  يتضح كيف يمكن لمكتبة أن تُحَمَّل على الأجهزة المثبتة للجيلبريك؛ فوِفْقاََ لفرضيات المختصين فإن مصدر العدوى قادم من حزم آتية من مصدر غير رسمي. كما أن بعض الأدلة  تشير لوجود اتصال قادم من الصين هذه المكتبة كانت قد وقعت رقميا بشهادة مشروعة مع  المطور قدمت من طرف شركة آبل في فبراير الماضي لشخص يدعى وانغ شي؛ قد يكون حاملا لهوية مزورة ، لكن ينبغي أن تكون أبل قادرة على التحقيق من هذه المعلومات وإغلاق هذا حساب المطور. على أي حال، كانت الشهادة صالحة أو لا لا يهم لأن التعليمات البرمجية الخبيثة لا تتطلب التوقيع الرقمي لتشغيلها على أجهزة اي فون.
و يظن مجتمع الجيلبريك أنه فقط بحذف الشفرة الثنائية Unflod.dylib/framework.dylib وتغيير كلمات المرور و مُعَرًفات أبل يُمكًن من تفادي الهجوم، ومع ذلك ما زلنا لا نعرف كيف تدخل المكتبة للأجهزة و ما إذا كانت تحمل غيرها من البرامج الضارة، والطريقة الوحيدة الأكيدة للتخلص من ذلك حسب قول الباحثين هو أن تقوم باستعادة كاملة، وهو ما يعني إزالة وفقدان الجيلبريك

الكاتبة :يسرى شقور

بقلم

محمد لحلو

المدير التقني لمدونة مجتمع الأمن المعلوماتي مدون ومغرد حول مجال الأمن المعلوماتي والحماية الإلكترونية ! مهتم بكل جديد حول المجال الأمني بصفة خاصة والتقني بصفة عامة من مواليد مدينة فاس المغرب .

2016 © جميع الحقوق محفوظة
تطوير : عدنان المجدوبي