Malware iOS, YiSpecter qui attaque les appareils Apple non jailbreakés

Le malware YiSpecter a principalement touché les utilisateurs d’iPhone en Chine et à Taïwan

Des chercheurs de la société de cybersécurité Palo Alto Networks ont identifié un nouveau malware qui infecte les appareils iOS en abusant des API et injecte ensuite des publicités lors de la navigation sur le Web et dans d’autres applications. C’est le premier cas de malware iOS ciblant et réussissant à infecter des appareils non jailbreakés, affirment les chercheurs.

YiSpecter, comme le malware a été nommé, a principalement affecté les utilisateurs en Chine et à Taïwan par le biais de quatre méthodes différentes.

Les utilisateurs peuvent être infectés par le malware avec l’aide du ver Lingdun. Ce ver, qui fonctionne via le réseau social QQ et son interface de partage de fichiers, peut cibler une grande variété de types d’appareils. Des fichiers HTML malveillants avec des noms pornographiques sont téléchargés par le ver, qui sont ensuite partagés avec d’autres utilisateurs du réseau. Lorsqu’un utilisateur accède à ces fichiers, la page identifie que l’utilisateur utilise un appareil iOS pour accéder à ces pages et sert une version du logiciel publicitaire YiSpectre.

Le détournement de trafic Internet et de DNS est la deuxième méthode d’infection. Cela se produit lorsque les FAI locaux ont leurs serveurs infectés par des attaquants, qui les utilisent ensuite pour afficher des pop-ups pour une application iOS qui est couplée avec YiSpectre. Cela finit par être une infection réussie, une fois que l’application est téléchargée et installée. Ces pop-ups n’apparaissaient que lorsque le Web était consulté depuis un réseau Wi-Fi domestique. Cependant, les pop-ups ne s’affichaient pas lorsqu’un navigateur proxy était utilisé. Seule une plainte auprès du FAI peut aider à faire disparaître le pop-up.

La troisième méthode d’infection est l’installation d’applications hors ligne. Comme avec la première méthode, les attaquants créent une application malveillante qu’ils promeuvent comme la version 5 du lecteur QVOD. Les autorités chinoises avaient fermé QVOD, qui est un lecteur vidéo mobile discontinué pour contenu adulte. Cette méthode d’infection dépend des utilisateurs téléchargeant l’application depuis des portails d’applications iOS et l’installant manuellement. De plus, il y a aussi des allégations de Palo Alto selon lesquelles certains fournisseurs de maintenance et détaillants de téléphones installeront également des malwares malveillants contre de l’argent.

La promotion publique de l’application (lecteur QVOD modifié) essentiellement réalisée sur des forums mobiles et souterrains est la dernière méthode d’infection remarquée par les chercheurs. Les utilisateurs sont généralement redirigés vers des portails d’applications iOS non autorisés (troisième méthode) dans cette méthode et est utilisée pour obtenir plus d’utilisateurs qui, au départ, n’auraient peut-être pas été exposés à l’application.

YiSpectre peut affecter à la fois les appareils jailbreakés et non jailbreakés avec l’aide de quatre composants, tous signés avec des certificats d’entreprise. Ces composants permettent au malware de contourner divers protocoles de sécurité intégrés d’Apple, en abusant des API privées, en se téléchargeant mutuellement et en se faisant passer pour un ou un autre composant légitime à divers stades de l’infection.

Palo Alto Networks affirme que YiSpecter peut attaquer des appareils iOS jailbreakés et non jailbreakés en abusant des API privées pour permettre à ses quatre composants (qui sont signés avec des certificats d’entreprise) de se télécharger et de s’installer mutuellement à partir d’un serveur centralisé, et à divers stades de l’infection de se faire passer pour un ou un autre composant légitime.

Le malware supprimera ensuite trois des quatre icônes ajoutées par ces composants une fois la phase d’infection terminée, et cachera la dernière icône comme l’une des applications système d’Apple.

Une fois qu’il est sur le téléphone de l’utilisateur, YiSpectre commence à télécharger, installer et lancer d’autres applications iOS arbitraires, substituant des applications légitimes, et même détournant des applications existantes, affichant des interstitiels publicitaires chaque fois qu’elles sont lancées.

Le malware peut également modifier le moteur de recherche par défaut de Safari, changer ses signets, altérer les pages actuellement ouvertes, et rapporter les détails du téléphone et l’activité de l’utilisateur à un serveur C&C.

Le malware a été remarqué pour la première fois en novembre 2014, selon les chercheurs de Palo Alto. Le malware infecte les appareils iOS depuis plus de 10 mois. Actuellement, il n’est détecté que par l’un des moteurs AV de VirusTotal, la société antivirus chinoise Qihoo, qui en avait également fait rapport en février 2015.

Trois des quatre composants utilisés par YiSpecter pour infecter les appareils sont signés par des certificats délivrés à YingMob Interactive, une plateforme de publicité mobile chinoise, ont souligné les mêmes chercheurs de Palo Alto. Le malware qui a utilisé certaines des adresses IP fait également référence à quelques serveurs YingMob.

De plus, la société a également développé une application appelée HaoYi Apple Helper, qui par coïncidence ou non, est le nom de l’utilisateur qui a posté des messages promotionnels pour le lecteur QVOD infecté sur des forums souterrains (pour référence, voir la quatrième méthode d’infection).

Cependant, le nom de l’application a été changé plus tard en Fengniao Helper, qui déclare aider les utilisateurs à installer des applications iOS payantes de l’Apple Store gratuitement. Semblable à la fonctionnalité du Trojan iOS KeyRaider, un malware qui vole les identifiants de compte Apple et les utilise ensuite pour voler des applications payantes de la boutique officielle et les installer sur des appareils jailbreakés gratuitement, selon Palo Alto.

Apple a été informé de la menace par Palo Alto et Apple commencera à annuler les certificats utilisés pour installer les quatre composants de YiSpecter.

Le mois dernier, un autre malware appelé XcodeGhost a infecté presque 40 applications populaires dans l’App Store chinois, ce qui est très inhabituel car Apple soumet d’abord les applications à une sécurité stricte. En dépit de la nature unique des deux malwares, Palo Alto Networks affirme qu’il n’y a aucune preuve que XcodeGhost et YiSpecter soient liés.

Le billet de blog de Palo Alto Networks contient plus d’informations sur YiSpecter, ainsi que des étapes détaillées pour le supprimer des appareils.