[해외보안동향] 탈옥한 아이폰에서 애플계정정보 탈취하는 unfold baby panda 악성코드 발견

최근 ‘unfold baby panda’ 악성코드가 발견되었습니다.

iPhone(이하 아이폰)에서 동작하는 ‘unfold baby panda’라고 명명된 새로운 악성코드가 발견되었습니다. 해당 악성코드는 아이폰에서 사용자의 애플계정정보를 탈취하며, 탈옥시킨 애플 기기에서만 동작하는 특징이 있습니다.

* 탈옥 : 아이폰의 제한된 권한들을 해제하는 것으로, 탈옥 시 휴대폰의 모든 권한을 얻을 수 있다.

해당 악성코드는 사용자의 애플계정정보를 탈취하여, 탈취한 정보를 평문 형태로 IP 23.88.10.4에 전송합니다. 악성앱은 ‘Wang Xin’이라는 아이폰 개발자의 이름으로 전자서명이 되어 있습니다. 하지만 해당 전자서명 역시 도용되었을 가능성이 클 것으로 보입니다. 악성코드의 전자서명 날짜는 ‘2월 14일’인 것으로 보아 이미 두 달 동안 활동해 온 것으로 확인됩니다. 아직까지 감염 규모는 확인이 되지 않았습니다.

‘unfold baby panda’ 악성코드가 어디서부터 출현했고, 어떻게 감염되어 유포됐는지는 명확하지 않지만, 확실한 것은 해당 악성코드는 탈옥된 아이폰에서만 동작하고 있다는 것입니다. ‘unfold baby panda’ 악성코드는 현재 동작하고 있는 모든 프로세스를 후킹하여 외부와의 SSL통신을 엿봅니다. 

DynamicLibraries 폴더 화면

※ Unfold baby panda 악성코드 감염여부 체크방법

1. iFile을 이용하여 /Library/MobileSubstrate/DynamicLibraries/ 폴더에 Unflod.dylib과 Unflod.plist파일이 있는지 확인한다.

2. 만약 Unflod파일이 있다면, 이미 악성코드에 감염된 것이므로 iFile을 이용하여 해당 파일들을 삭제한다.

3. 악성코드를 삭제한 후 애플계정의 ID와 Password를 재설정한다.

※ Unfold baby panda악성코드가 SSH 사용여부를 확인하는 방법

1. SSH를 이용하여 iPhone을 컴퓨터에 연결한다. 

2. 프롬프트창에 아래와 같은 명령어를 입력한다. 

    ls /Library/MobileSubstrate/DynamicLibraries/

3. Unflod.dylib 와 Unflod.plist 파일이 있는지 확인한다.

4. 만약 해당 파일들이 있다면 이미 악성코드에 감염된 것으로, 파일들을 삭제한 후 애플계정의 ID와 Password를 재설정한다.

관련 정보 출처 : http://www.iphonefaq.org/archives/973440