Suite à une alerte sonnée par la communauté Reddit, la société de sécurité allemande SektionEins a publié un billet de blog sur la campagne de malware iOS baptisée Unflod Baby Panda. Un malware dénommé Baby Panda ou Unflod dérobe des identifiants Apple ID mais uniquement pour des iPhones ou iPads jailbreakés.

Baby-Panda Connu dans l'univers du jailbreak sous le pseudonyme de hacker i0n1c, le chercheur en sécurité Stephen Esser écrit dans son analyse que le malware accède à la fonction SSLWrite d'iOS afin d'examiner la mémoire tampon à la recherche de chaînes de caractères indiquant la présence d'un identifiant Apple et du mot de passe.

Le cas échéant, le code malveillant tente de transmettre des données volées en clair à des adresses IP dont une ayant un lien avec une localisation en Chine. Une piste chinoise à prendre avec des pincettes. L'analyse ne permet pas de dire comment le malware a pu arriver sur des iPhones jailbreakés.

À Ars Technica, Stephen Esser a précisé que le code malveillant fonctionne uniquement sur des versions 32 bits de terminaux iOS jailbreakés. Même jailbreakés, l'iPhone 5s ou encore l'iPad Air sont donc hors de danger.

Une infection peut être détectée en ouvrant SSH/Terminal et en cherchant dans le répertoire /Library/MobileSubstrate/DynamicLibraries la présence du fichier Unflod.dylib. Le créateur de l'application Cydia, Jay Freeman alias Saurik, a laissé sur Reddit des instructions pour ceux qui souhaitent désinfecter leur terminal jailbreaké.

Stephen Essel recommande lui une restauration de l'appareil même si cela signifie la perte du jailbreak. Quoi qu'il en soit, il faudra ultérieurement changer son Apple ID.