YiSpecter Malware attackerar iPhones och iPads för att visa annonser
Bara några veckor efter att Apple tvingats avskaffa sin iOS App Store från appar som förgiftats av XcodeGhost-skadlig programvara, och bara några månader efter att teknikföretaget drog alla iOS-antivirusappar, har en ny attack kommit fram som påverkar ägare av iPads och iPhones, vilket ifrågasätter heligheten i Apples muromgärdade trädgård.
Det nya skadliga hotet – som kan infektera iDevices oavsett om de är fängslade eller inte – har fått namnet YiSpecter av säkerhetsforskare vid Palo Alto Networks, och en rapport i Wall Street Journal säger att det har spridits med hjälp av en kines reklamnätverk.
YiSpecter tros ha spridit sig i naturen sedan minst november 2014, ursprungligen distribuerad som trojaniserad version av QVOD, en mediaspelare populär i Kina för att titta på porrfilmer. QVOD har sedan dess avvecklats efter att de kinesiska myndigheterna stängde av det tidigare i år, så det är säkert att anta att alla QVOD-videospelare nu ska behandlas med misstänksamhet.
Emellertid har YiSpecter-skadlig programvara också infekterat iPhones och iPads på andra ovanliga sätt, inklusive kapning av trafik från kinesiska internetleverantörer, en Windows-baserad mask för sociala nätverk, appbutiker från tredje part och direkt marknadsföring av trojaniserade appar på sociala nätverk och forum.
En gång på plats kan YiSpecter-skadlig programvara installera oönskade appar, ersätta legitima appar med de som den hade laddat ner, visa helskärmsannonser, blanda sig med Safaris bokmärken och standardsökmotor och stjäla information om användare. YiSpecter kan överleva manuell radering från iOS-enheter genom att automatiskt visas igen.
Forskare har beskrivit hur YiSpecter har låtsats vara legitima appar, inklusive telefon, väder, spelcenter och lösenbok på infekterade enheter.
YiSpecter går längre än tidigare attacker mot icke-jailbroken iPhones som WireLurker, genom att inte bara dra nytta av certifikat som utfärdats under Apples iOS Developer Enterprise-program för att lansera skräddarsydda appar inom företag utan också utnyttja privata API: er.
Hittills verkar det som om YiSpecter mest har påverkat användare baserade i Kina och Taiwan, men det finns uppenbarligen potentialen för attacker som denna att slå längre bort.
Palo Alto Networks erbjuder följande borttagningsråd för alla användare som tror att deras iDevices kan påverkas av YiSpecter:
- I iOS, gå till Inställningar -> Allmänt -> Profiler för att ta bort alla okända eller opålitliga profiler;
- Om det finns några installerade appar som heter “情 情 涩 器”, “快 快 播 版” eller “快 播 0”, ta bort dem;
- Använd alla iOS-hanteringsverktyg från tredje part (t.ex. iFunBox, men notera att Apples iTunes inte fungerar i det här steget) på Windows eller Mac OS X för att ansluta till din iPhone eller iPad;
- Kontrollera alla installerade iOS-appar i hanteringsverktyget. om det finns några appar som har namn som Telefon, Väder, Spelkod, Passbook, Anteckningar eller Cydia, ta bort dem. (Observera att detta steg inte påverkar ursprungliga systemappar utan bara tar bort falsk skadlig kod.)
Integos Mac-säkerhetsprodukter upptäcker skadlig kod som iOS / YiSpecter.
Även om den senaste utvecklingen i världen av iOS-skadlig programvara kan skramla vissa användares förtroende för plattformens säkerhet, är det väl värt att komma ihåg att problemet med skadlig programvara är mycket viktigare i Android-operativsystemet. Tusentals nya Android-malware-prover upptäcks hela tiden.
De goda nyheterna för iOS-användare är att, för tillfället, skadlig kod är en relativt nyhet.
Om Graham Cluley
Graham Cluley är en prisbelönt säkerhetsbloggare, forskare och talare. Han har arbetat inom datasäkerhetsbranschen sedan början av 1990-talet, efter att ha varit anställd av företag som Sophos, McAfee och Dr Solomon’s. Han har talat om datasäkerhet för några av världens största företag, arbetat med brottsbekämpande organ för utredningar av hackingsgrupper och dyker regelbundet upp på TV och radio för att förklara datasäkerhetshot. Graham Cluley togs in i InfoSecurity Europe Hall of Fame 2011 och fick ett hedersomtal i de “10 största britterna i IT-historien” för sitt bidrag som en ledande myndighet inom internetsäkerhet. Följ honom på Twitter på @gcluley. Visa alla inlägg av Graham Cluley → Det här inlägget publicerades i Malware, Security News och taggade iOS / YiSpecter, malware, YiSpector. Bokmärk permalänken.