TrollInstall
TrollInstall est une application de raccourcis permettant d'installer des fichiers IPA et TIPA avec la protection SeaShell. SeaShell est un malware open source qui peut facilement être injecté dans tout fichier IPA installé via TrollStore. Le téléchargement d'IPA provenant de sources non fiables peut compromettre votre appareil. Avec TrollInstall, vous pouvez vérifier si le malware SeaShell est injecté dans l'IPA avant d'installer l'application.
Qu'est-ce que TrollInstall ?
TrollInstall est un script pour l'application Shortcut qui vérifie la présence de malware SeaShell dans les fichiers IPA. Il décompresse automatiquement le fichier IPA, vérifie la présence du fichier « mussel » ou recherche la clé CFBundleBase64Hash dans tous les fichiers « .plist ». Cela vous permet de déterminer automatiquement si le package IPA a été modifié par le script SeaShell pour prendre le contrôle de votre iPhone.
Lorsque vous installez des fichiers IPA, notamment des packages payants populaires provenant de sources tierces, vous risquez d'installer sans le savoir la porte dérobée SeaShell sur votre iPhone. Ce logiciel malveillant est facile à injecter dans les fichiers IPA de TrollStore et peut donner un accès non autorisé à votre appareil, permettant ainsi à des intrus de le contrôler à distance, de consulter des SMS, des photos, etc.
TrollStore n'offre aucune protection contre les logiciels malveillants et les applications potentiellement malveillantes. Cependant, MrDjBird a mis au point un raccourci TrollInstall simple mais efficace qui permet de vérifier si la version par défaut du logiciel malveillant SeaShell est présente dans l'IPA. À mon avis, c'est la meilleure solution disponible pour se protéger contre la compromission de l'iDevice.
La dernière version de TrollInstall inclut une fonctionnalité OTA réécrite, des options de test bêta ajoutées, un menu lors du démarrage manuel du raccourci, la possibilité d'afficher l'IP du pirate si l'IPA contient des logiciels malveillants et un menu supplémentaire après la vérification de l'IPA.
Détection des logiciels malveillants SeaShell
Pour une protection accrue, je recommande vivement d'utiliser le raccourci TrollInstall pour vérifier si l'IPA est exempt de malware SeaShell. C'est la mesure minimale à prendre pour garantir la sécurité de votre appareil avant d'installer des applications via TrollStore.
La plupart des développeurs d'applications TrollStore sont transparents sur leur travail et publient le code source sur GitHub. Cependant, lorsque vous téléchargez une API compilée depuis une source tierce, vous n'avez aucune garantie qu'elle n'a pas été modifiée, ce qui augmente le risque d'infection par un logiciel malveillant. Télécharger des API depuis des sources fiables peut vous protéger.
Les futures versions de TrollInstall peuvent introduire de nouvelles fonctionnalités intéressantes telles que les paramètres de raccourci, la prise en charge du schéma d'URL TrollStore, le sandboxing IPA et une option pour désactiver SeaShell.
TrollInstall a été publié sur GitHub en tant que projet open source . Le développeur a également publié un fichier IPA de test SeaShell contenant des logiciels malveillants à des fins de test.
Protection manuelle SeaShell
J'ai créé un guide pour vous protéger des attaques via SeaShell . Voici mes conseils pour détecter la présence de SeaShell dans un fichier IPA. TrollInstall simplifie ce processus grâce à un raccourci, permettant d'identifier plus rapidement si une application a été modifiée avant son installation.
- Décompressez le fichier IPA ou TIPA que vous souhaitez installer.
- Soyez attentif aux exécutables suspects dans le bundle d'application. Par exemple, SeaShell Framework peut inclure un exécutable nommé « mussel », qui est en réalité une charge utile Pwny.
- Vérifiez si le fichier Info.plist contient des entrées suspectes. SeaShell peut ajouter une entrée CFBundleBase64Hash codée en base64 contenant une paire d'hôtes (:).
- Vérifiez la somme de hachage du fichier pour garantir son intégrité.
