Lookout ontdekt scareware in iOS 10.2, opgelost na update naar iOS 10.3

Abonneer je gratis op Techzine!

Bezitters van een iOS-apparaat doen er goed aan om de update naar versie 10.3 van het besturingssysteem die gisteren officieel beschikbaar is gekomen, ook snel te installeren. Lookout – een bedrijf dat zich hoofdzakelijk richt op het beveiligen van mobiele apparaten – heeft namelijk een vorm van zogeheten scareware aangetroffen in de Safari-browser van iPhones en iPads die nog op versie 10.2 draaien. 

De scareware doet zich in eerste instantie voor als ransomware, maar is dat feitelijk niet. Wat er gebeurt is het volgende: op het moment dat een gebruiker in Safari naar een geïnfecteerde website surft, komt er een JavaScript-pop-up naar boven die uiterlijk identiek is aan de gewone Safari-browser. In die pop-up wordt om losgeld gevraagd, dat voldaan moet worden in de vorm van iTunes pre-paid kaarten. Vervolgens blijf je als gebruiker hangen in een eindeloze loop van pop-ups en kun je de browser dus niet meer gebruiken.

Bij nadere inspectie gaat het bij dit stukje malware echter niet te gaan om ransomware. Er wordt weliswaar gevraagd om te betalen, maar worden geen bestanden versleuteld en de infectie blijft beperkt tot de Safari-app. Er wordt geen exploit code gebruikt om uit de app sandbox te geraken en malware op het systeem te installeren. Als je weet hoe je de cache van Safari moet wissen in iOS, dan ben je ook snel van dit stukje malware af.

Een betere oplossing voor dit probleem is uiteraard een update naar de nieuwste versie van iOS, waar ook de nieuwste security patches in zijn opgenomen. Specifiek met het oog op het gebruik van pop-ups, valt op dat iOS 10.3 niet langer vatbaar is voor de scareware zoals hierboven beschreven. Waar Safari tot aan 10.2 op deze manier te ‘locken’ was, is dat bij 10.3 niet langer mogelijk. Pop-ups zijn nu gekoppeld aan tabbladen in plaats van de volledige browser. Heb je een probleem zoals dit, dan volstaat het sluiten van het tabblad, waarmee je ook die ‘mini-sessie’ afsluit en de daarbij behorende cache wist.

Mocht je interesse hebben in de volledige blogpost van Lookout, die nog veel meer details bevat over dit stukje malware, dan kun je deze link volgen.