Вредоносное ПО iOS, YiSpecter, атакующее устройства Apple без джейлбрейка

Вредоносное ПО YiSpecter в значительной степени затронуло пользователей iPhone в Китае и Тайване

Исследователи из компании по кибербезопасности Palo Alto Networks выявили новое вредоносное ПО, которое заражает устройства iOS, злоупотребляя API, а затем внедряет рекламу при просмотре веб-страниц и в других приложениях. Это первый случай вредоносного ПО для iOS, нацеленного на устройства без джейлбрейка и успешно их заражающего, утверждают исследователи.

Вредоносное ПО, названное YiSpecter, в основном затронуло пользователей в Китае и Тайване четырьмя различными способами.

Пользователи могут заразиться вредоносным ПО с помощью червя Lingdun. Этот червь, который работает через социальную сеть QQ и ее интерфейс обмена файлами, может нацеливаться на широкий спектр типов устройств. Зловредные HTML-файлы с порнографическими названиями загружаются червем, которые затем передаются другим пользователям в сети. Когда пользователь получает доступ к этим файлам, страница определяет, что пользователь использует устройство iOS для доступа к этим страницам и показывает версию рекламного ПО YiSpectre.

Второй метод заражения — это перехват интернет-трафика и DNS. Это происходит, когда локальные интернет-провайдеры имеют свои серверы зараженными злоумышленниками, которые затем используют их для показа всплывающих окон для iOS-приложения, которое идет в комплекте с YiSpectre. Это приводит к успешному заражению, как только приложение загружается и устанавливается. Эти всплывающие окна появлялись только при просмотре веб-страниц с домашней Wi-Fi сети. Однако всплывающие окна не появлялись при использовании проксированного браузера. Только жалоба провайдеру может помочь убрать всплывающее окно.

Третий метод заражения — это установка приложений оффлайн. Как и в первом методе, злоумышленники создают вредоносное приложение, которое они продвигают как QVOD Player версии 5. Китайские власти закрыли QVOD, который является прекращенным мобильным видеоплеером для контента для взрослых. Этот метод заражения зависит от пользователей, загружающих приложение с порталов приложений iOS и устанавливающих его вручную. Кроме того, есть также утверждения от Palo Alto, что некоторые поставщики услуг и ритейлеры телефонов также будут устанавливать вредоносное ПО за деньги.

Общественное продвижение приложения (модифицированный QVOD Player), в основном проводимое на мобильных и подпольных форумах, является последним методом заражения, замеченным исследователями. Пользователи обычно перенаправляются на несанкционированные порталы приложений iOS (третий метод), и этот метод используется для привлечения большего числа пользователей, которые изначально могли не подвергаться воздействию приложения.

YiSpectre может затрагивать как джейлбрейкнутые, так и не джейлбрейкнутые устройства с помощью четырех компонентов, все подписанные корпоративными сертификатами. Эти компоненты позволяют вредоносному ПО обходить различные встроенные протоколы безопасности Apple, злоупотребляя частными API, загружая друг друга и выдавая себя за тот или иной легитимный компонент на различных этапах заражения.

Palo Alto Networks утверждает, что YiSpecter может атаковать джейлбрейкнутые и не джейлбрейкнутые устройства iOS, неправомерно используя частные API, чтобы позволить своим четырем компонентам (которые подписаны корпоративными сертификатами) загружать и устанавливать друг друга с централизованного сервера, и на различных этапах заражения выдавать себя за тот или иной легитимный компонент.

Вредоносное ПО затем удалит три из четырех иконок, добавленных этими компонентами, как только этап заражения будет завершен, и скроет последнюю иконку как одно из системных приложений Apple.

Как только оно попадает на телефон пользователя, WiSpectre начинает загружать, устанавливать и запускать другие произвольные приложения iOS, заменяя легитимные приложения и даже перехватывая существующие приложения, показывая рекламные межстраничные объявления каждый раз, когда они запускаются.

Вредоносное ПО также может изменять поисковую систему по умолчанию в Safari, изменять закладки, изменять страницы, которые в данный момент открыты, и сообщать о деталях телефона и активности пользователя на сервер C&C.

Вредоносное ПО впервые было замечено в ноябре 2014 года, согласно исследователям Palo Alto. Вредоносное ПО заражает устройства iOS более 10 месяцев. В настоящее время оно обнаруживается только одним из антивирусных движков VirusTotal, китайской антивирусной компанией Qihoo, которая также сообщала о нем в феврале 2015 года.

Три из четырех компонентов, используемых YiSpectre для заражения устройств, подписаны сертификатами, выданными YingMob Interactive, китайской мобильной рекламной платформой, отметили те же исследователи Palo Alto. Вредоносное ПО, использующее некоторые IP-адреса, также ссылается на несколько серверов YingMob.

Кроме того, компания также разработала приложение под названием HaoYi Apple Helper, которое случайно или нет, является именем пользователя, который размещал рекламные сообщения для зараженного QVOD Player на подпольных форумах (для справки см. четвертый метод заражения).

Однако название приложения было позже изменено на Fengniao Helper, которое заявляет, что помогает пользователям устанавливать платные приложения iOS из Apple Store бесплатно. Похоже на функциональность трояна iOS KeyRaider, вредоносного ПО, которое крадет учетные данные Apple и затем использует их для кражи платных приложений из официального магазина и установки их на джейлбрейкнутые устройства бесплатно, говорит Palo Alto.

Apple была проинформирована о угрозе Palo Alto, и Apple начнет отменять сертификаты, используемые для установки четырех компонентов YiSpectre.

В прошлом месяце другое вредоносное ПО под названием XcodeGhost заразило почти 40 популярных приложений в китайском App Store, что очень необычно, поскольку Apple сначала подвергает приложения строгой безопасности. Несмотря на уникальный характер обоих вредоносных ПО, Palo Alto Networks утверждает, что нет доказательств того, что XcodeGhost и YiSpecter связаны.

В блоге Palo Alto Networks есть больше информации о YiSpecter, а также подробные шаги по его удалению с устройств.