Malware iOS, YiSpecter Que Ataca Dispositivos Apple Não Jailbroken

O malware YiSpecter afetou amplamente usuários de iPhone na China e em Taiwan

Pesquisadores da empresa de cibersegurança Palo Alto Networks identificaram um novo malware que infecta dispositivos iOS abusando de APIs e, em seguida, injeta anúncios ao navegar na Web e em outros aplicativos. Esta é a primeira instância de malware iOS que visa e consegue infectar dispositivos não jailbroken, dizem os pesquisadores.

YiSpecter, como foi nomeado o malware, afetou principalmente usuários na China e em Taiwan através de quatro métodos diferentes.

Os usuários podem ser infectados com o malware com a ajuda do verme Lingdun. Este trabalho, que funciona via a rede social QQ e sua interface de compartilhamento de arquivos, pode direcionar uma ampla variedade de tipos de dispositivos. Arquivos HTML maliciosos com nomes pornográficos são carregados pelo verme, que são então compartilhados com outros usuários na rede. Quando um usuário acessa esses arquivos, a página identifica que o usuário está usando um dispositivo iOS para acessar essas páginas e serve uma versão do adware YiSpectre.

O tráfego da Internet e o sequestro de DNS é o segundo método de infecção. Isso ocorre quando ISPs locais têm seus servidores infectados por atacantes, que então os utilizam para mostrar pop-ups para um aplicativo iOS que vem acoplado com o YiSpectre. Acaba sendo uma infecção bem-sucedida, uma vez que o aplicativo é baixado e instalado. Somente quando a Web foi navegada a partir de uma rede Wi-Fi doméstica é que esses pop-ups apareceram. No entanto, os pop-ups não apareceram quando um navegador com proxy foi usado. Apenas uma reclamação ao ISP pode ajudar a fazer o pop-up desaparecer.

O terceiro método de infecção é pela instalação offline de aplicativos. Assim como no primeiro método, os atacantes criam um aplicativo malicioso que promovem como a versão 5 do QVOD Player. As autoridades chinesas fecharam o QVOD, que é um reprodutor de vídeo móvel descontinuado para conteúdo adulto. Este método de infecção depende de os usuários baixarem o aplicativo de portais de aplicativos iOS e instalá-lo manualmente. Além disso, também há alegações da Palo Alto de que alguns fornecedores de manutenção e varejistas de telefones também instalarão malware malicioso por dinheiro.

A promoção pública do aplicativo (QVOD Player modificado) basicamente feita em fóruns móveis e underground é o último método de infecção notado pelos pesquisadores. Os usuários são geralmente redirecionados para portais de aplicativos iOS não autorizados (terceiro método) neste método e é usado para obter mais usuários que, em primeiro lugar, podem não ter sido geralmente expostos ao aplicativo.

YiSpectre pode afetar tanto dispositivos jailbroken quanto não jailbroken com a ajuda de quatro componentes, todos assinados com certificados empresariais. Esses componentes permitem que o malware contorne vários protocolos de segurança integrados da Apple, abusando de APIs privadas, baixando uns aos outros e passando como um ou outro componente legítimo em várias etapas da infecção.

A Palo Alto Networks afirma que o YiSpecter pode atacar dispositivos iOS jailbroken e não jailbroken ao abusar de APIs privadas para permitir que seus quatro componentes (que são assinados com certificados empresariais) baixem e instalem uns aos outros de um servidor centralizado e, em várias etapas da infecção, passem como um ou outro componente legítimo.

O malware então removerá três dos quatro ícones adicionados por esses componentes uma vez que a fase de infecção esteja completa e esconderá o último ícone como um dos aplicativos do sistema da Apple.

Uma vez que está no telefone do usuário, o WiSpectre começa a baixar, instalar e lançar outros aplicativos iOS arbitrários, substituindo aplicativos legítimos e até sequestrando aplicativos existentes, mostrando intersticiais de anúncios toda vez que são iniciados.

O malware também pode modificar o mecanismo de busca padrão do Safari, alterar seus favoritos, alterar páginas que estão atualmente abertas e relatar detalhes do telefone e a atividade do usuário para um servidor C&C.

O malware foi notado pela primeira vez em novembro de 2014, de acordo com os pesquisadores da Palo Alto. O malware tem infectado dispositivos iOS por mais de 10 meses. Atualmente, está sendo detectado por apenas um dos motores AV do VirusTotal, a empresa chinesa de antivírus Qihoo, que também havia relatado sobre isso em fevereiro de 2015.

Três dos quatro componentes usados pelo YiSpecter para infectar dispositivos são assinados por certificados emitidos para a YingMob Interactive, uma plataforma de publicidade móvel chinesa, apontaram os mesmos pesquisadores da Palo Alto. O malware que usou alguns dos endereços IP também se refere a alguns servidores da YingMob.

Além disso, a empresa também desenvolveu um aplicativo chamado HaoYi Apple Helper, que por acaso ou não, é o nome do usuário que tem postado mensagens promocionais para o QVOD Player infectado em fóruns underground (para referência, veja o quarto método de infecção).

No entanto, o nome do aplicativo foi posteriormente alterado para Fengniao Helper, que afirma ajudar os usuários a instalar aplicativos pagos do iOS App Store gratuitamente. Semelhante à funcionalidade do Trojan iOS KeyRaider, um malware que rouba credenciais de conta da Apple e depois as utiliza para roubar aplicativos pagos da loja oficial e instalá-los em dispositivos jailbroken gratuitamente, diz a Palo Alto.

A Apple foi informada sobre a ameaça pela Palo Alto e começará a cancelar os certificados usados para instalar os quatro componentes do YiSpectre.

No mês passado, outro malware chamado XcodeGhost infectou quase 40 aplicativos populares na App Store chinesa, o que é muito incomum porque a Apple primeiro submete os aplicativos a uma segurança rigorosa. Apesar da natureza única de ambos os malwares, a Palo Alto Networks afirma que não há evidências de que XcodeGhost e YiSpecter estejam relacionados.

O post do blog da Palo Alto Networks tem mais informações sobre o YiSpecter, bem como etapas detalhadas para removê-lo dos dispositivos.