Jailbreak-Malware: Vorsicht vor dem Baby Panda

Der bekannte Jailbreak-Profi Saurik warnt via Reddit vor einer neuen Malware, die auf gejailbreakten iOS-Geräten für Unheil sorgt. Die jetzt unter dem Namen Baby Panda bekannte Schadsoftware schnüffelt iPhone und iPad aus und übermittelt Apple ID und Passwort an unbekannte Server. Ein paar Hintergrund-Informationen zu der neuen Schadsoftware, die wahrscheinlich über ein nicht geprüftes Repository, beispielsweise für gecrackte Apps mitausgeliefert wird, stammen von der deutschen Sicherheitsfirma SektionEins aus Köln. SektionEins hat die Meldungen bei Reddit analysiert und mithilfe einiger betroffener Nutzer den Code untersucht und einige Details zu der neuen Malware veröffentlicht.

Warten auf die Apple-Verbindung

Die Malware hängt sich unter SSLWrite in das Security.framework und scannt nach Zeichenfolgen, die auf die Apple ID und das dazugehörige Passwort hindeuten. Sie durchsucht ausgehende SSL-Verbindungen, bis sie die Verbindung zum Apple Server entdeckt hat.

Hat sie die Apple ID entdeckt, werden die Daten im Klartext an zwei IP-Adressen (23.88.10.4 und 23.228.204.55 auf Port 7878) übertragen. Spuren führen nach China. Die Malware verbirgt sich hinter verschiedenen Dateien in den Libaries. Sollten sich Unflod.dylib oder Unflod.plist auf dem iPhone oder iPad befinden, hat man sich den Schadcode mit irgendeiner anderen App oder einem Tweak eingefangen.

Der Jailbreaker Saurik hat nun eine Anleitung bei Reddit veröffentlicht, damit sie möglichst eine Vielzahl von Jailbreakern bekannt wird. Für alle die herausfinden wollen, ob sie vielleicht auch von dem Baby Panda betroffen sind, helfen die Anweisungen. Nach dem Aufspüren der Dateien - zum Beispiel mit iFile - kann die Schadsoftware entfernt werden. Der Prozess ist recht aufwendig, wird aber von Saurik detailliert beschreiben. Zur Sicherheit sollte anschließend das Passwort der Apple ID geändert werden. Iphone, iPhone 5S, iOS 7, Apple iOS 7 Apple