De server die het eerste iPhone botnet ter wereld bestuurt en zich vervolgens op ING-klanten richtte, is zich in de nacht van zondag op maandag anders gaan gedragen. "In plaats van het geven van nieuwe opdrachten om uit te voeren, geeft het alleen foutmeldingen terug", zegt Scott McIntyre, Security Officer bij XS4ALL, tegenover Security.nl. Volgens McIntyre, die als eerste de worm ontdekte, kan dit verschillende dingen betekenen. Of de internetprovider waar de Command & Control (C&C) server van het botnet stond, heeft die uit de lucht gehaald. De provider in Litouwen zou door verschillende partijen zijn ingelicht. "Ik hoop dat dit de verklaring is, het is goed mogelijk." De twee andere verklaringen van McIntyre zijn namelijk minder positief.

"De aanvaller heeft de afgelopen nacht een update aan geïnfecteerde systemen uitgevoerd, zodat ze nu met een nieuwe C&C server verbinding maken." Een andere mogelijkheid is dat de aanvaller de command structuur heeft aangepast. Als de server uit de lucht is gehaald, is dit goed nieuws, gaat McIntyre verder. "Aan de andere kant, besmette systemen bellen nog steeds naar 'huis', en wie die server beheert, kan in potentie gejailbreakte iPhones en de al besmette telefoons opnieuw controleren." De malware kan zich namelijk nog steeds van iPhone naar iPhone verspreiden, ook al is de C&C server uitgeschakeld. "Geïnfecteerde iPhones kunnen nog steeds de worm laten voortleven."

Interesse
Volgens McIntyre gaat het om een kleinschalig incident, ook al is het exact aantal besmette iPhones nog altijd onbekend. "Het kan een proof of concept zijn, een experiment, een scriptkiddie...maar het laat zien wat mogelijk is en de risico's die met name gejailbreakte iPhones lopen, maar ook smart phones in het algemeen", laat de Security Officer weten. "Hoe interessanter de data op het apparaat, hoe meer interesse het krijgt van mensen die toegang tot die gegevens willen hebben."