ช่วงสัปดาห์ที่ผ่านมามีปฏิบัติการขโมยรหัสผ่าน Apple ID ผ่านมัลแวร์ที่แฝงตัวมากับแอพเจลเบรกบน Cydia ซึ่งตอนนี้ก็ยังมีผู้ติดร่างแหอยู่เรื่อยๆ ล่าสุดมีนักวิจัยเกี่ยวกับความปลอดภัยออกมาอธิบายการทำงานของมัลแวร์ตัวนี้แล้ว

ย้อนความเกี่ยวกับมัลแวร์ตัวนี้ถูกเรียกว่า "Unflod" ถูกค้นพบโดยผู้ใช้ Reddit ที่รู้สึกว่าเครื่องที่ใช้มีอาการแอพเด้งหลังจากลงแอพเจลเบรกบางตัวใน Cydia จนไปพบกับ Unflod ที่แฝงตัวเข้ามาเป็นหนึ่งในส่วนเสริมของ Mobile Substrate (เฟรมเวิร์คสำหรับรันแอพบน Cydia) ในรูปแบบของไลบราลีชื่อว่า Unflod.dylib หลังจากนั้นไม่นานก็มีคนไปพบกับไลบราลีอีกตัวที่ชื่อว่า framework.dylib ซึ่งทำงานคล้ายกัน ในชื่อที่ต่างกันเท่านั้น

หลังจากมัลแวร์ตัวนี้ถูกเปิดเผยแก่สาธารณะก็มีนักวิจัยไปวิเคราะห์การทำงานมัลแวร์ตัวดังกล่าวจนพบว่ามัลแวร์ตัวนี้จะใช้งาน SSLWrite function ของเครื่องและสแกนหาสตริงของ Apple ID และรหัสผ่านเพื่อส่งไปยังเซิร์ฟเวอร์ของผู้โจมตีอีกที โดยเครื่องที่ถูกโจมตีนอกจากจะเจลเบรกแล้ว ยังเป็นเฉพาะกับเครื่องที่รัน iOS เวอร์ชัน 32 บิตเท่านั้น

โดยเบื้องต้นคาดว่ามัลแวร์ดังกล่าวน่าจะถูกปล่อยมาจากประเทศจีนโดยดูจากเซิร์ฟเวอร์ที่มัลแวร์ส่ง Apple ID และรหัสผ่านไปนั้น แม้ว่าจะตั้งอยู่ในสหรัฐฯ แต่ก็เป็นของลูกค้าชาวจีน

สำหรับคนที่อยากรู้ว่าตัวเองอยู่ในข่ายติดมัลแวร์หรือไม่ สามารถตรวจสอบเองด้วยการ SSH ใน Terminal ค้นหาโฟลเดอร์ /Library/MobileSubstrate/DynamicLibraries เพื่อดูว่ามีไฟล์ Unflod.dylib อยู่หรือไม่ ถ้าเจอก็ลบทิ้งไป (แต่ไม่การันตีว่าไฟล์นี้จะกลับมาอีกหรือไม่) ทางที่นักวิจัยแนะนำมาคือให้รีสโตร์เครื่องไปเลย แต่ก็จะทำให้เสียความสามารถในการเจลเบรกไปเช่นกัน

ทำเสร็จแล้วอย่าลืมเปลี่ยนรหัส Apple ID กันด้วยนะครับ

ที่มา - Ars Technica