탈옥되지 않은 애플 기기를 공격하는 iOS 악성코드, YiSpecter

YiSpecter 악성코드는 주로 중국과 대만의 아이폰 사용자에게 영향을 미쳤습니다.

사이버 보안 회사인 팔로 알토 네트웍스의 연구자들은 API를 악용하여 iOS 기기를 감염시키고 웹 브라우징 및 다른 앱에서 광고를 주입하는 새로운 악성코드를 확인했습니다. 연구자들은 이것이 탈옥되지 않은 기기를 목표로 하고 성공적으로 감염된 첫 번째 사례라고 말합니다.

악성코드의 이름은 YiSpecter로, 주로 네 가지 방법을 통해 중국과 대만의 사용자에게 영향을 미쳤습니다.

사용자는 Lingdun 웜의 도움으로 악성코드에 감염될 수 있습니다. QQ 소셜 네트워크와 파일 공유 인터페이스를 통해 작동하는 이 웜은 다양한 기기 유형을 타겟으로 할 수 있습니다. 음란한 이름을 가진 악성 HTML 파일이 웜에 의해 업로드되고, 이는 네트워크의 다른 사용자와 공유됩니다. 사용자가 이러한 파일에 접근하면 페이지는 사용자가 iOS 기기를 사용하고 있음을 인식하고 YiSpectre 애드웨어의 버전을 제공합니다.

인터넷 트래픽 및 DNS 하이재킹은 두 번째 감염 방법입니다. 이는 로컬 ISP의 서버가 공격자에 의해 감염되어 YiSpectre와 함께 제공되는 iOS 앱의 팝업을 표시하는 데 사용될 때 발생합니다. 앱이 다운로드되고 설치되면 성공적인 감염이 이루어집니다. 이러한 팝업은 가정용 Wi-Fi 네트워크에서 웹을 탐색할 때만 나타났습니다. 그러나 프록시 브라우저를 사용할 때는 팝업이 나타나지 않았습니다. ISP에 대한 불만 제기만이 팝업을 제거하는 데 도움이 될 수 있습니다.

세 번째 감염 방법은 오프라인 앱 설치입니다. 첫 번째 방법과 마찬가지로 공격자는 QVOD Player 버전 5로 홍보되는 악성 앱을 생성합니다. 중국 당국은 성인 콘텐츠를 위한 중단된 모바일 비디오 플레이어인 QVOD를 종료했습니다. 이 감염 방법은 사용자가 iOS 앱 포털에서 앱을 다운로드하고 수동으로 설치하는 데 의존합니다. 또한, 팔로 알토는 일부 유지 보수 공급자와 전화 소매업체가 현금으로 악성 악성코드를 설치할 것이라는 주장도 있습니다.

앱(수정된 QVOD Player)의 공개 홍보는 연구자들이 발견한 마지막 감염 방법으로, 일반적으로 사용자는 이 방법을 통해 비인가된 iOS 앱 포털(세 번째 방법)로 리디렉션됩니다. 이는 처음에 앱에 노출되지 않았던 더 많은 사용자를 유도하는 데 사용됩니다.

YiSpecter는 네 가지 구성 요소의 도움으로 탈옥된 기기와 탈옥되지 않은 기기 모두에 영향을 미칠 수 있으며, 모든 구성 요소는 기업 인증서로 서명되어 있습니다. 이러한 구성 요소는 악성코드가 다양한 애플의 내장 보안 프로토콜을 우회할 수 있도록 하며, 개인 API를 악용하고 서로를 다운로드하며 감염의 다양한 단계에서 하나 또는 다른 합법적인 구성 요소로 가장할 수 있게 합니다.

팔로 알토 네트웍스는 YiSpecter가 개인 API를 잘못 사용하여 네 가지 구성 요소(기업 인증서로 서명됨)가 중앙 서버에서 서로를 다운로드하고 설치할 수 있도록 하여 탈옥된 iOS 기기와 탈옥되지 않은 iOS 기기를 공격할 수 있다고 말합니다. 감염 단계가 완료되면 악성코드는 이러한 구성 요소에 의해 추가된 네 개의 아이콘 중 세 개를 제거하고 마지막 아이콘은 애플의 시스템 앱 중 하나로 숨깁니다.

사용자의 전화에 설치되면 WiSpectre는 다른 임의의 iOS 앱을 다운로드, 설치 및 실행하기 시작하며, 합법적인 앱을 대체하고 기존 앱을 하이재킹하여 시작할 때마다 광고 전환을 표시합니다.

악성코드는 또한 Safari의 기본 검색 엔진을 수정하고, 즐겨찾기를 변경하며, 현재 열려 있는 페이지를 변경하고, 전화 세부정보 및 사용자의 활동을 C&C 서버에 보고할 수 있습니다.

악성코드는 2014년 11월에 처음 발견되었으며, 팔로 알토 연구자들에 따르면 이 악성코드는 10개월 이상 iOS 기기를 감염시키고 있습니다. 현재, 이는 VirusTotal의 AV 엔진 중 하나인 중국의 안티바이러스 회사 Qihoo에 의해만 탐지되고 있으며, 이 회사는 2015년 2월에도 이에 대해 보고했습니다.

YiSpecter가 기기를 감염시키는 데 사용하는 네 가지 구성 요소 중 세 가지는 중국 모바일 광고 플랫폼인 YingMob Interactive에 의해 발급된 인증서로 서명되어 있다고 같은 팔로 알토 연구자들이 지적했습니다. 악성코드는 일부 IP 주소를 사용하여 몇 개의 YingMob 서버를 참조합니다.

또한, 이 회사는 HaoYi Apple Helper라는 앱을 개발했으며, 이는 우연히도 감염된 QVOD Player에 대한 홍보 메시지를 게시한 사용자 이름과 동일합니다(참고: 감염의 네 번째 방법).

그러나 이 앱의 이름은 나중에 Fengniao Helper로 변경되었으며, 이는 사용자가 Apple Store에서 유료 iOS 앱을 무료로 설치하는 데 도움을 준다고 주장합니다. 이는 Apple 계정 자격 증명을 도용하고 이를 사용하여 공식 스토어에서 유료 앱을 훔쳐 탈옥된 기기에 무료로 설치하는 iOS 트로이 목마 KeyRaider의 기능과 유사하다고 팔로 알토는 말합니다.

팔로 알토는 애플에 위협에 대해 알렸으며 애플은 YiSpecter의 네 가지 구성 요소를 설치하는 데 사용된 인증서를 취소하기 시작할 것입니다.

지난 달, XcodeGhost라는 또 다른 악성코드가 중국 앱 스토어의 거의 40개 인기 앱을 감염시켰으며, 이는 애플이 앱을 엄격한 보안에 처음으로 주제하기 때문에 매우 드문 일입니다. 두 악성코드의 독특한 성격에도 불구하고, 팔로 알토 네트웍스는 XcodeGhost와 YiSpecter가 관련이 있다는 증거는 없다고 말합니다.

팔로 알토 네트웍스의 블로그 게시물에는 YiSpecter에 대한 더 많은 정보와 장치에서 제거하는 방법에 대한 자세한 단계가 포함되어 있습니다.