Malware de iOS, YiSpecter que ataca dispositivos Apple no liberados

El malware YiSpecter ha afectado en gran medida a los usuarios de iPhone de China y Taiwán

Los investigadores de la firma de ciberseguridad Palo Alto Networks han identificado un nuevo malware que infecta dispositivos iOS al abusar de las API y luego inyecta anuncios al navegar por la Web y en otras aplicaciones. Este es el primer caso de malware de iOS que apunta y logra infectar dispositivos no liberados, dicen los investigadores.

YiSpecter, como se nombró al malware, ha afectado principalmente a usuarios en China y Taiwán a través de cuatro métodos diferentes.

Los usuarios pueden ser infectados con el malware con la ayuda del gusano Lingdun. Este trabajo, que funciona a través de la red social QQ y su interfaz de intercambio de archivos, puede dirigirse a una amplia variedad de tipos de dispositivos. Archivos HTML maliciosos con nombres pornográficos son subidos por el gusano, que luego son compartidos con otros usuarios en la red. Cuando un usuario accede a estos archivos, la página identifica que el usuario está utilizando un dispositivo iOS para acceder a estas páginas y sirve una versión del adware YiSpectre.

El tráfico de Internet y el secuestro de DNS es el segundo método de infección. Esto ocurre cuando los ISP locales tienen sus servidores infectados por atacantes, que luego los utilizan para mostrar ventanas emergentes para una aplicación de iOS que viene acoplada con YiSpectre. Termina siendo una infección exitosa, una vez que la aplicación es descargada e instalada. Solo cuando se navegaba por la Web desde una red Wi-Fi doméstica aparecían estas ventanas emergentes. Sin embargo, las ventanas emergentes no aparecían cuando se utilizaba un navegador proxy. Solo una queja al ISP puede ayudar a hacer desaparecer la ventana emergente.

El tercer método de infección es mediante la instalación de aplicaciones fuera de línea. Al igual que con el primer método, los atacantes crean una aplicación maliciosa que promocionan como la versión 5 del QVOD Player. Las autoridades chinas habían cerrado QVOD, que es un reproductor de video móvil descontinuado para contenido para adultos. Este método de infección depende de que los usuarios descarguen la aplicación de portales de aplicaciones de iOS e la instalen manualmente. Además, también hay afirmaciones de Palo Alto de que algunos proveedores de mantenimiento y minoristas de teléfonos también instalarán malware malicioso por dinero.

La promoción pública de la aplicación (QVOD Player modificado) que se realiza principalmente en foros móviles y subterráneos es el último método de infección notado por los investigadores. Los usuarios generalmente son redirigidos a portales de aplicaciones de iOS no autorizados (tercer método) en este método y se utiliza para obtener más usuarios que en primer lugar pueden no haber estado expuestos a la aplicación.

YiSpectre puede afectar tanto a dispositivos liberados como no liberados con la ayuda de cuatro componentes, todos firmados con certificados empresariales. Estos componentes permiten que el malware evite varios protocolos de seguridad integrados de Apple, al abusar de API privadas, descargándose entre sí y haciéndose pasar por uno u otro componente legítimo en varias etapas de la infección.

Palo Alto Networks dice que YiSpecter puede atacar dispositivos iOS liberados y no liberados al malutilizar API privadas para permitir que sus cuatro componentes (que están firmados con certificados empresariales) se descarguen e instalen entre sí desde un servidor centralizado, y en varias etapas de la infección hacerse pasar por uno u otro componente legítimo.

El malware luego eliminará tres de los cuatro íconos añadidos por estos componentes una vez que la etapa de infección esté completa, y ocultará el último ícono como una de las aplicaciones del sistema de Apple.

Una vez que está en el teléfono del usuario, WiSpectre comienza a descargar, instalar y lanzar otras aplicaciones arbitrarias de iOS, sustituyendo aplicaciones legítimas e incluso secuestrando aplicaciones existentes, mostrando intersticiales publicitarios cada vez que se inician.

El malware también puede modificar el motor de búsqueda predeterminado de Safari, cambiar sus marcadores, alterar las páginas que están actualmente abiertas y reportar detalles del teléfono y la actividad del usuario a un servidor C&C.

El malware fue notado por primera vez en noviembre de 2014, según los investigadores de Palo Alto. El malware ha estado infectando dispositivos iOS durante más de 10 meses. Actualmente, solo está siendo detectado por uno de los motores AV de VirusTotal, la compañía de antivirus china Qihoo, que también había informado sobre él en febrero de 2015.

Tres de los cuatro componentes utilizados por YiSpectre para infectar dispositivos están firmados por certificados emitidos a YingMob Interactive, una plataforma de publicidad móvil china, señalaron los mismos investigadores de Palo Alto. El malware que ha utilizado algunas de las direcciones IP también se refiere a algunos servidores de YingMob.

Además, la compañía también desarrolló una aplicación llamada HaoYi Apple Helper, que por casualidad o no, es el nombre del usuario que ha estado publicando mensajes promocionales para el QVOD Player infectado en foros subterráneos (para referencia, ver el cuarto método de infección).

Sin embargo, el nombre de la aplicación fue cambiado más tarde a Fengniao Helper, que dice ayudar a los usuarios a instalar aplicaciones de iOS pagadas de la Apple Store de forma gratuita. Similar a la funcionalidad del troyano de iOS KeyRaider, un malware que roba credenciales de cuentas de Apple y luego las utiliza para robar aplicaciones pagadas de la tienda oficial e instalarlas en dispositivos liberados de forma gratuita, dice Palo Alto.

Apple ha sido informada sobre la amenaza por Palo Alto y Apple comenzará a cancelar los certificados utilizados para instalar los cuatro componentes de YiSpectre.

El mes pasado, otro malware llamado XcodeGhost infectó casi 40 aplicaciones populares en la App Store china, lo cual es muy inusual porque Apple primero somete las aplicaciones a estrictas medidas de seguridad. A pesar de la naturaleza única de ambos malware, Palo Alto Networks dice que no hay evidencia de que XcodeGhost y YiSpecter estén relacionados.

La publicación del blog de Palo Alto Networks tiene más información sobre YiSpecter, así como pasos detallados para eliminarlo de los dispositivos.