YiSpecter, un nouveau genre de malware iOS détecté en Asie
Palo Alto Networks a publié un rapport détaillé sur un malware d'un nouveau genre qui frappe des terminaux iOS, qu'ils soient jailbreakés ou non. La société américaine avait précédemment tiré la sonnette d'alarme à propos de l'affaire XcodeGhost.
Baptisé YiSpecter, ce malware serait en service depuis au moins novembre 2014, il touche essentiellement les utilisateurs en Chine et à Taiwan. Formé de quatre composants, il parvient à masquer sa présence à l'utilisateur de plusieurs manières. Ce peut être en rendant invisible sur l'écran d'accueil les icônes des apps qu'il installe et en éjectant des apps système qu'il remplace par des jumeaux trafiqués (Game Center, Notes, Passbook, Météo, Téléphone) ou encore en prenant la place de celle de Cydia. Quand bien même on aurait détecté et supprimé manuellement ce malware, il réapparaît automatiquement. De plus, presqu'aucun anti-virus ne détecte encore sa présence.
Sur des téléphones infectés, lorsque l'utilisateur ouvre une app normale, des pubs peuvent apparaître en plein écran. Cela semble être l'une des principales motivations. Safari peut-être également touché : sa liste de signets et son historique de visites sont modifiés pour stocker des URL envoyées par un serveur associé à ce malware. Avec l'espoir que l'utilisateur visitera ces sites. Ce dernier sait en outre collecter des informations techniques générales sur l'iPhone qui l'héberge et les transmettre vers ces serveurs.
La particularité de YiSpecter réside dans l'utilisation simultanée de certificats d'entreprise pour s'installer à grande échelle sur des iPhone non jailbrakés et d'API privées d'iOS pour faire ses petites opérations en douce. Une combinaison inédite, explique Palo Alto Networks, qui fait reculer d'un cran encore les barrières de sécurité d'iOS.
Les méthodes de propagation d'YiSpecter sont variées. Certains fournisseurs d'accès régionaux en Chine agissent sur la connexion internet qu'ils proposent à leurs clients. Ils forcent parfois l'affichage d'une publicité lorsqu'un utilisateur se promène sur certains sites afin de le pousser à installer un logiciel. Ils savent aussi détourner une requête de téléchargement d'une app en la remplaçant par une autre qu'ils veulent promouvoir.
Un ver a été également utilisé sur Windows. Une fois installé sur le PC, il subtilise à l'utilisateur la liste de ses contacts d'un célèbre groupe de discussion et distribue un fichier HTML à connotation pornographique entre les membres de ce forum. Lorsque ce fichier est ouvert, il détecte la nature de l'appareil utilisé et installe la version compatible de YiSpecter.
L'installation du malware a pu se faire aussi manuellement, depuis des boutiques d'apps non officielles. Ou bien chez des vendeurs ou des réparateurs de téléphones qui arrondissent leurs fins de mois grâce à des éditeurs d'apps. Ceux-ci les payent pour installer leurs apps sur tous les terminaux qui passent entre leurs mains.
Les auteurs de YiSpecter ont fait la promotion de leur logiciel au grand jour. Il y a eu des publicités sur des forums qui faisaient la pub d'un logiciel apte à remplacer un lecteur vidéo très connu. Enfin, une autre méthode est d'offrir des crédits à l'utilisateur d'un service de vidéos pour qu'il puisse en voir davantage s'il accepte de télécharger des apps.
D'après les indices laissés par ce malware, Palo Alto Networks cite YingMob, une société de publicité mobile comme auteur de ce logiciel. Un pas à pas est donné à la fin du rapport pour se débarrasser complètement de ces intrus et la société américaine a partagé ses découvertes techniques avec Apple et ses homologues.
Ca fait froid dans le dos la complexite des malwares de maintenant !
Ca détourne le système de distribution en entreprise, non ?
Il faut dans iOS une option qui passe l'iPhone en mode flotte d'entreprise, cette option autorise le contrôle et tout ce qui suit...
Oui.
Il n'y a pas d'exploitation de faille mais détournement du mécanisme permettant des applications d'entreprises. Et les opérateurs chinois semblent être impliques. Bref ...
« L'installation du malware a pu se faire aussi manuellement, depuis des boutiques d'apps non officielles. Ou bien chez des vendeurs ou des réparateurs de téléphones qui arrondissent leurs fins de mois grâce à des éditeurs d'apps. Ceux-ci les payent pour installer leurs apps sur tous les terminaux qui passent entre leurs mains. »
Fallait commencer par ça.
Je pense qu'on ne craint rien...
@kimaro
Oui en gros, pas de risque.
"Sur des téléphones infectés, lorsque l'utilisateur ouvre une app normale, des pubs peuvent apparaître en plein écran."
L'application MacG serait elle aussi infectée ??
-> []
Encore en Asie comme le virus de la grippe :p
Le mode de propagation par la volonté du FAI, c'est hallucinant.
Le terme malandrin n'a pas été employé. Décidément, la qualité rédactionnelle est en baisse :P
Donc si j'ai bien compris il faut absolument télécharger une application pour être infecté. (Sauf installation manuelle et/ou depuis le vers sur Windows).
Mais l'application est donc sur l'appstore officiel?
@Norandy
Non. Le malware est installé via un certificat d'entreprise.
Les méthodes de propagation sont vraiment inquiétantes, entre les réparateurs qui ajoutent des applications sur le téléphone de quelqu'un et les fai chinois qui manipule la connexion pour télécharger le logiciel ça fait vraiment peur.
D'après la source :
"Note that, in Apple’s just-released iOS 9, enterprise certificate security has been improved. Users now must manually set a related provisioning profile as “trusted” in Settings before they can install Enterprise provisioned apps."
En gros, si on est pas allé autoriser manuellement dans réglages les quelques certificats utilisés pour l'attaque, pas de risque ?
@CNNN
Non, reviens, tu n'as pas tort en plus. Les sites MacG/iGen sont aussi infectés aujourd'hui, par une variante du malware dont on parle ici, dénommée YiSpecter_Lidl !
Ah, les malandrins !!
@johannk :
Lidl sur un site Apple c'est drôle quand même ^^
Campagne ciblée Android serait plus rentable je pense...
@johannk :
Puis jai un abonnement MacG donc jai le droit d'en faire une blague :)
moi qui croyais qu'ios était le parangon de la sécurité.....je vais de ce pas vendre mon iphone et acheter un blackberry
@shadoxas :
Elle même temps avec tout ses gens qui désirent les Alpha d'iOS ....à vouloir coûte que coûte du changement et ...des histoires.
oh c'est un petit beug qui touche pas grand monde ^^