L’autunno si sta rivelando turbolento per le mele appese sugli alberi di Apple. Dopo le segnalazioni riguardanti la vulnerabilità di AirDrop e le applicazioni hackerate presenti sullo store cinese dell’azienda, i ricercatori di Palo Alto Networks se ne sono usciti in queste ore con un’altra novità. Si chiama YiSpecter ed è un malware che, caso unico nel suo genere, è in grado di infettare sia gli iPhone jailbroken che quelli originali, non “intaccati” cioè da software alternativo a quello proposto ufficialmente da Apple. I dispositivi iOs vengono attaccati tramite le Api private e, al momento, il malware sembra diffuso esclusivamente in Cina e a Taiwan. Una volta eseguito, YiSpecter è in grado di installare applicazioni non autorizzate, sostituendo poi quelle originali con quelle infette. Ma non solo: il malware è anche capace di visualizzare pubblicità, cambiare i segnalibri di Safari e, cosa forse più grave, inviare i dati utenti (non si sa quali) al server command and control parte della botnet principale.
Il malware, circolante secondo Palo Alto Networks da circa dieci mesi, è al momento riconosciuto come tale solo da un vendor di prodotti di sicurezza su 57 e si distribuisce in modo decisamente anomalo. Gli hacker sono in grado di recapitarlo sui dispositivi più indifesi deviando il traffico Internet fornito dai service provider, oppure tramite installazione di app offline. YiSpecter è composto da quattro parti differenti, ognuna firmata con certificati aziendali. Abusando delle Api private, questi componenti sono in grado di scaricarsi e installarsi a loro volta partendo dal server command and control originale.
Tre parti maligne su quattro riescono poi a nascondere le proprie icone dalla schermata principale degli iPhone infetti (la SpringBoard), riuscendo così a non allarmare l’utente con la propria presenza. Comunque, individuare il malware non sembra servire a molto perché, nonostante la cancellazione, il programma maligno è capace di installarsi nuovamente da solo. YiSpecter ha fatto la sua comparsa a novembre 2014, spacciandosi come applicazione utile per vedere filmati erotici gratuiti sul cellulare.
Fonte: Palo Alto Networks. L'accesso a siti compromessi può infettare il cellulare con YiSpecter
Grazie alla deviazione del traffico erogato dai service provider, il malware è riuscito poi a infettare anche device non collegati al software pornografico, appoggiandosi anche a Windows (tramite l’app di messaggistica Qq) e alle comunità online dove gli utenti installano applicativi di terze parti. La società Palo Alto Networks ha pubblicato online un proof of concept dettagliato del bug, realizzato con tutta probabilità dall’azienda YingMob Interaction, insieme a una guida passo passo per eliminare l’infezione dall’iPhone.