Malware iOS, YiSpecter che attacca i dispositivi Apple non jailbroken

Il malware YiSpecter ha colpito principalmente gli utenti iPhone in Cina e Taiwan

I ricercatori della società di sicurezza informatica Palo Alto Networks hanno identificato un nuovo malware che infetta i dispositivi iOS abusando delle API e poi inietta annunci durante la navigazione sul Web e in altre app. Questa è la prima istanza di malware iOS che prende di mira e riesce a infettare dispositivi non jailbroken, affermano i ricercatori.

YiSpecter, come è stato chiamato il malware, ha colpito principalmente gli utenti in Cina e Taiwan attraverso quattro diversi metodi.

Gli utenti possono essere infettati dal malware con l’aiuto del worm Lingdun. Questo worm, che opera tramite il social network QQ e la sua interfaccia di condivisione file, può colpire una vasta gamma di tipi di dispositivi. File HTML malevoli con nomi pornografici vengono caricati dal worm, che vengono poi condivisi con altri utenti nella rete. Quando un utente accede a questi file, la pagina identifica che l’utente sta utilizzando un dispositivo iOS per accedere a queste pagine e serve una versione dell’adware YiSpectre.

Il traffico Internet e l’hijacking DNS sono il secondo metodo di infezione. Questo si verifica quando i provider di servizi Internet locali hanno i loro server infettati dagli attaccanti, che poi li utilizzano per mostrare popup per un’app iOS che viene fornita insieme a YiSpectre. Si tratta di un’infezione riuscita, una volta che l’app viene scaricata e installata. Solo quando il Web è stato navigato da una rete Wi-Fi domestica sono apparsi questi popup. Tuttavia, i popup non sono comparsi quando è stato utilizzato un browser proxy. Solo un reclamo al provider di servizi Internet può aiutare a far scomparire il popup.

Il terzo metodo di infezione è tramite l’installazione di app offline. Come nel primo metodo, gli attaccanti creano un’app malevola che promuovono come la versione 5 del QVOD Player. Le autorità cinesi avevano chiuso QVOD, che è un lettore video mobile per contenuti per adulti non più in uso. Questo metodo di infezione dipende dagli utenti che scaricano l’app dai portali di app iOS e la installano manualmente. Inoltre, ci sono anche affermazioni da parte di Palo Alto che alcuni fornitori di manutenzione e rivenditori di telefoni installeranno anche malware malevolo per denaro.

La promozione pubblica dell’app (QVOD Player modificato) essenzialmente effettuata su forum mobili e sotterranei è l’ultimo metodo di infezione notato dai ricercatori. Gli utenti vengono generalmente reindirizzati a portali di app iOS non autorizzati (terzo metodo) in questo metodo e viene utilizzato per ottenere più utenti che in primo luogo potrebbero non essere stati solitamente esposti all’app.

YiSpectre può colpire sia dispositivi jailbroken che non jailbroken con l’aiuto di quattro componenti, tutti firmati con certificati aziendali. Questi componenti consentono al malware di eludere vari protocolli di sicurezza integrati di Apple, abusando di API private, scaricandosi a vicenda e passando come uno o l’altro componente legittimo in varie fasi dell’infezione.

Palo Alto Networks afferma che YiSpecter può attaccare dispositivi iOS jailbroken e non jailbroken abusando di API private per consentire ai suoi quattro componenti (che sono firmati con certificati aziendali) di scaricarsi e installarsi a vicenda da un server centralizzato e, in varie fasi dell’infezione, passare come uno o l’altro componente legittimo.

Il malware rimuoverà quindi tre delle quattro icone aggiunte da questi componenti una volta completata la fase di infezione e nasconderà l’ultima icona come una delle app di sistema di Apple.

Una volta che è sul telefono dell’utente, WiSpectre inizia a scaricare, installare e avviare altre app iOS arbitrarie, sostituendo app legittime e persino dirottando app esistenti, mostrando interstitial pubblicitari ogni volta che vengono avviate.

Il malware può anche modificare il motore di ricerca predefinito di Safari, cambiare i suoi segnalibri, alterare le pagine attualmente aperte e segnalare i dettagli del telefono e l’attività dell’utente a un server C&C.

Il malware è stato notato per la prima volta nel novembre 2014, secondo i ricercatori di Palo Alto. Il malware ha infettato dispositivi iOS per oltre 10 mesi. Attualmente, viene rilevato solo da uno dei motori AV di VirusTotal, la compagnia antivirus cinese Qihoo, che ne aveva anche riportato nel febbraio 2015.

Tre dei quattro componenti utilizzati da YiSpectre per infettare i dispositivi sono firmati da certificati rilasciati a YingMob Interactive, una piattaforma pubblicitaria mobile cinese, hanno sottolineato gli stessi ricercatori di Palo Alto. Il malware che ha utilizzato alcuni degli indirizzi IP si riferisce anche a diversi server YingMob.

Inoltre, la compagnia ha anche sviluppato un’app chiamata HaoYi Apple Helper, che per caso o meno, è il nome dell’utente che ha pubblicato messaggi promozionali per il QVOD Player infetto su forum sotterranei (per riferimento, vedere il quarto metodo di infezione).

Tuttavia, il nome dell’app è stato successivamente cambiato in Fengniao Helper, che afferma di aiutare gli utenti a installare app iOS a pagamento dall’Apple Store gratuitamente. Simile alla funzionalità del Trojan iOS KeyRaider, un malware che ruba le credenziali dell’account Apple e poi le utilizza per rubare app a pagamento dal negozio ufficiale e installarle su dispositivi jailbroken gratuitamente, afferma Palo Alto.

Apple è stata informata riguardo alla minaccia da Palo Alto e Apple inizierà a cancellare i certificati utilizzati per installare i quattro componenti di YiSpectre.

Il mese scorso, un altro malware chiamato XcodeGhost ha infettato quasi 40 app popolari nell’App Store cinese, il che è molto insolito perché Apple sottopone prima le app a rigidi controlli di sicurezza. Nonostante la natura unica di entrambi i malware, Palo Alto Networks afferma che non ci sono prove che XcodeGhost e YiSpecter siano correlati.

Il post del blog di Palo Alto Networks ha ulteriori informazioni su YiSpecter, così come passaggi dettagliati per rimuoverlo dai dispositivi.