YiSpecter: Εντοπίσθηκε το πρώτο iOS malware που είναι ικανό να επιτίθεται σε jail-broken και σε non- jailbroken συσκευές apple.
Αυτό το malware εντοπίσθηκε στην Κίνα και την Taiwan, και κάνει hijack στο traffic των ISPs των χωρών αυτών. Αυτό έχει σαν αποτέλεσμα την ύπαρξη ενός μεγάλου ‘κύματος‘ reports προς την Apple Inc. τις τελευταίες εβδομάδες, ενώ η δραστηριότητα του YiSpecter συζητιέται σε πολλά online forums τους τελευταίους μήνες, κατά τους οποίους, από τα 57 κορυφαία παγκόσμια συστήματα cyber security, μόνο ένα κατάφερε να εντοπίσει το συγκεκριμένο malware.
Το malware περιλαμβάνει τέσσερα μέρη που αλληλοεξαρτώνται. Με την έγκριση των enterprise certificates, τα μέρη αυτά καταχρώνται τα private APIs και κατεβάζουν αρχεία από έναν command and control (C2) server. Τα τρία από αυτά χρησιμοποιούν εξελιγμένα tricks για να κρύψουν τα εικονίδιά τους από το SpringBoard, γεγονός που αποτρέπει τον εντοπισμό τους και φυσικά την αφαίρεσή τους.
Το YiSpecter μπορεί να κατεβάσει, να εγκαταστήσει και να εκκινήσει αυθαίρετα iOS apps, να αντικαταστήσει τα υπάρχοντα apps με αυτά που κατεβάζει, να κάνει hijack την εκτέλεση άλλων apps για να εμφανίζει διαφημίσεις, να αλλάξει την προεπιλεγμένη μηχανή αναζήτησης του Safari, τα bookmarks και τις ανοιχτές σελίδες, και να ανεβάσει πληροφορίες για την μολυσμένη συσκευή iOS στον C2 server.
Αυτό το malware έχει την ικανότητα να καθορίσει:
• Εάν ένα iPhone είναι jailbroken ή όχι, το malware και στην μία περίπτωση και στην άλλη θα εγκατασταθεί στην συσκευή επιτυχώς.
• Εάν διαγράψετε το κακόβουλο λογισμικό χειροκίνητα, τότε εκείνο θα επανεμφανισθεί.
Το YiSpecter άρχισε να διαδίδεται τον Νοέμβριο του 2014. Οι κύριες εφαρμογές iOS αυτού του malware έχουν user interface και λειτουργικότητα που επιτρέπουν την παρακολούθηση δωρεάν βίντεο πορνό online, και διαφημίζονται ως “ιδιωτική έκδοση” ή “έκδοση 5.0” ενός διάσημου media player, του “QVOD”. Το QVOD αναπτύχθηκε από την Kuaibo και έγινε ιδιαίτερα δημοφιλές στην Κίνα από τους διακινητές πορνογραφικού υλικού.
Μέχρι στιγμής, γνωρίζουμε δύο apps τα οποία διανέμουν αυτό το malware:
- HYQvod (bundle id: weiying.Wvod)
- DaPian (bundle id: weiying.DaPian)
Και τα δύο διαδόθηκαν με τους τρόπους που αναφέραμε παραπάνω. Περιλαμβάνουν την λειτουργικότητα της παρακολούθησης video online καταναλώνοντας credits, ενώ οι χρήστες μπορούν να κερδίσουν credits κάνοντας εγκατάσταση των προτεινόμενων iOS apps . Αλλά το πιο σημαντικό είναι πως, θα κατεβάσουν και θα εγκαταστήσουν ένα άλλο malicious app, ευρέως γνωστό με το όνομα NoIcon.
