YiSpecter : un malware iOS attaque des appareils iOS non débridés en détournant des API privées
lun, 05/10/2015 - 16:17
L'Unit42, unité de recherches de Palo Alto Networks a découvert un nouveau malware bapitsé YiSpecter, affectant le système d’exploitation Apple iOS. YiSpecter diffère des malware antérieurs ciblant iOS, du fait qu’il attaque à la fois des appareils débridés et non débridés, par le biais de comportements malveillants inédits et nuisibles. Selo Palo Alto Networks, c’est la première fois qu'un malware détourne des API privées d’iOS pour mettre en œuvre des fonctionnalités malveillantes.
Pour le moment, ce malware touche principalement les utilisateurs d’iOS résidant en Chine continentale et à Taiwan. Il se diffuse par des méthodes inhabituelles : piratage du trafic national des fournisseurs de services Internet, ver SNS sous Windows, installation d’une app en mode hors ligne et promotion d’une communauté. De nombreuses victimes ont mentionné l’infection par YiSpecter de leurs iPhones débridés ou non débridés sur les forums Internet et ont signalé le phénomène à Apple.
Le malware circule librement depuis plus de 10 mois, mais sur les 57 fournisseurs de sécurité du site Web VirusTotal, un seul le détecte à l’heure où nous publions cet article.
YiSpecter comprend quatre composants différents signés par des certificats d’entreprise. Ces composants détournent les API privées, puis se téléchargent et s’installent mutuellement à partir d’un serveur de commande et de contrôle (C2). Trois de ces composants malveillants utilisent des astuces pour rendre leurs icones invisibles dans le SpringBoard d’iOS, empêchant ainsi l’utilisateur de les localiser et de les supprimer. Les composants utilisent en outre des noms et des logos identiques à ceux des apps système pour piéger les utilisateurs iOS avertis.
Une fois un appareil iOS infecté, YiSpecter peut alors télécharger, installer et lancer des apps iOS arbitrairement, remplacer les apps existantes par celles qu’il télécharge, pirater l’exécution des autres apps pour afficher des publicités, modifier le moteur de recherche par défaut de Safari, ainsi que les signets et les pages ouvertes, et communiquer les informations de l’appareil au serveur C2. Selon les indications des victimes du malware, tous ces comportements ont été constatés lors des attaques de YiSpecter au cours des derniers mois. Parmi les autres caractéristiques de ce malware, on peut aussi citer les suivantes :
- Le malware réussit à se télécharger et à s’installer à la fois sur les iPhones débridés et non débridés.
- Même si l’utilisateur supprime manuellement le malware, il réapparaît automatiquement.
- Des outils tiers permettent de détecter la présence « d’apps système » anormales supplémentaires sur les téléphones infectés.
- Lorsque l’utilisateur ouvre une app normale sur un téléphone infecté, une publicité plein écran s’affiche.
Palo Alto Networks a publié des signatures IPS et DNS qui bloquent le trafic malveillant de YiSpecter. Ce billet de blog contient également des indications pour supprimer manuellement YiSpecter et éviter des attaques similaires à l’avenir. Apple a également été averti.