Intego conferma le informazioni diffuse nel pomeriggio da F-Secure sul nuovo e pericoloso worm per iPhone. Un malware davvero molto insidioso sul quale la software house francese specializzata in software per la sicurezza, aggiunge diversi dettagli in particolare inerenti la prospettiva di una diffusione a livello internazionale dell’attività illegale.
L’ipotesi emerge dall’esame degli indirizzi IP che vengono richiamati dal worm una volta entrato in funzione su iPhone e touch. Il programma infatti cerca altri tascabili della Mela da attaccare esaminando indirizzi IP non solo collocati in Olanda (dove per ora è attivo il worm) ma anche del Portogallo, Ungheria e Australia.
Intego, che ha battezzato il nuovo worm con il nome iBotnet.A, aggiunge anche come una volta installato il programma modifica la password standard “alpine” dei servizi SSH con la nuova password “ohshit” in questo modo impedisce all’utente di modificare la password una volta che l’infezione è in corso. Nel nuovo allarme sicurezza appena rilasciato Intego spiega che il worm collega iPhone e touch con un server localizzato in Lituania non solo per inviare i dati e gli SMS rubati ma anche per scaricare ulteriore software malevolo. Grazie a quest’ultimo iPhone e touch possono essere trasformati in botnet utilizzabili a distanza dai pirati per generare altri attacchi via Internet, diffondere malware e spam e così via.
Oltre al re-indirizzo ad un sito pirata quando l’utente accede ai servizi di home banking di ING, presumibilmente per carpire nome utente e password, il worm assegna un numero univoco ad ogni iPhone/touch infettato. In questo modo i pirati possono tornare al tascabile individuato per recuperare le informazioni desiderate. Nell’allarme sicurezza diramato Intego ringrazia Scott McIntyre, Chief Security Officer della società olandese XS4ALL per aver contribuito nell’isolare e nell’analizzare il nuovo worm. Intego ha aggiornato le definizioni dei virus del programma VirusBarrier X5 che ora è in grado di rilevare e rimuovere iPhone/iBotnet.A. L’altra soluzione per rimuovere il worm una volta contratto è quella di azzerare la memoria di iPhone e touch.
“Vogliamo evidenziare – dice Intego in una nota – che gli utenti che effettuano il jailbreak si espongono a vulnerabilità note che sono sfruttate da codice in circolazione. Se gli utenti installano ssh dovrebbero cambiare la password di default, che è ampiamente conosciuta. Anche se il numero degli iPhone attaccati può essere minimo, l’ammontare dei dati personali che possono essere compromessi e l’abilità del nuovo worm di creare una botnet, suggeriscono caldamente che gli utenti iPhone dovrebbero mantenere le configurazioni originali e non applicare il jailbreak”.