Nieuwe malware bouwt aan eerste iPhone-botnet

Nieuw ontdekte malware is bezig met het bouwen van het eerste iPhone-botnet. De malware werd ontdekt door XS4ALL, ongebruikelijk veel activiteit op de netwerken ontdekte. Het risico is groter dan bij eerder ontdekte gevallen.
Gonny van der Zwaag - · Laatst bijgewerkt:

botnetXS4ALL heeft nieuwe malware ontdekt, die het gemunt heeft op de iPhone en gevaarlijker lijkt dan de eerdere gevallen. XS4ALL ontdekte dat er nieuwe malware in omloop was, omdat er grote activiteit op het T-Mobile-netwerk gaande was. Net als voorheen loop je alleen risico als je een jailbreak hebt uitgevoerd, OpenSSH hebt geïnstalleerd en niet het standaard wachtwoord voor root en mobile hebt gewijzigd (hoe dat moet lees je hier). Volgens securitymedewerker Scott McIntyre van XS4ALL gaat het om een zeer gevaarlijke worm, die bezig is een botnet van iPhones te bouwen. Een botnet is een netwerk van computers, die automatisch en zelfstandig opereren (in dit geval buiten de controle van de gebruiker om).

Risico’s die je bij deze nieuwe worm loopt zijn het stelen van gegevens en overname van de telefoon door de makers van de worm. Zodra een iPhone is geïnfecteerd verspreidt het zich automatisch naar andere iPhone. De batterij van de iPhone raakt door het scannen van IP-adressen sneller leeg.

De malware installeert meerdere bestanden, maakt een dump van de SMS-database, vervangt startup-scripts en start twee nieuwe processen. De maker van de worm kan via een server in Litouwen aanvullende bestanden installeren. Zelf het rootwachtwoord wijzigen is niet meer mogelijk, want dat heeft de worm al voor je gedaan. Een groot verschil met eerdere situaties is dat een veel grotere reeks van IP-nummers is getroffen, inclusief UPC, T-Mobile en Australische, Hongaarse en Portugese providers. F-Secure heeft de variant Ikee.B genoemd, al is niet bekend of het daadwerkelijk om een variant van de eerder verschenen Ikee gaat. Die wijzigt alleen je scherm, terwijl Ikee.B botnets maakt. De malware blijkt al zo’n twee dagen actief te zijn.

Wat kun je hieraan doen? Het probleem wordt veroorzaakt door OpenSSH en het feit dat de standaardwachtwoorden die (ook op afstand) toegang geven tot het besturingssysteem van je iPhone, niet zijn gewijzigd. Een kwaadwillende kan die wachtwoorden makkelijk raden en daarna binnendringen. Ben je een minder gevorderde gebruiker en wil je toch toegang tot het bestandssysteem, gebruik dan alternatieven zoals DiskAid of iPhoneBrowser. Ben je van mening dat je OpenSSH echt nodig hebt, dan moet je het wachtwoord wijzigen voor de gebruikersaccounts root en mobile.

Eergisteren ontvingen we zelf een wat merkwaardig mailtje van iPhoneclub-bezoeker Sjan, waar we toen nog niet veel van snapten. Inmiddels is ook ons duidelijk dat het hier om hetzelfde botnet gaat en dat XS4ALL deze mensen dus onmiddellijk afsluit van internet. Omdat er verder geen aanvullende meldingen kwamen hebben we hier helaas geen opvolging aan gegeven.

Ik zit met het volgende misschien wel interessant voor nieuws. Ik stond vanochtend op deed mijn computer aan en tot mijn verbazing geen internet van xs4all had te maken met “abuse” na enkele telefoontjes later vertelden ze dat dit met mijn iphone te maken kon hebben dat ik dus 1 of andere worm heb op mijn iphone. Ze vertelden me ook dat ze hier al meer klachten over hadden gehad en konden mij geen oplossing geven om de worm te verwijderen. ondertussen doet mijn internet aansluiting het nog steed niet! hopelijk kunnen jullie er wat mee of hebben jullie meerdere “slachtoffers”

T-Mobile had al eerder aangekondigd de SSH-hack onmogelijk te willen maken via maatregelen binnen het mobiele netwerk, maar voorlopig lijkt dat nog geen doorgang te hebben gevonden.

Meer informatie: Security.nl, via NU.nl

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 21 november 2009, 0:19
Categorie Achtergrond
Onderwerpen botnet, malware

Reacties zijn gesloten voor dit artikel.