Ouvrir le menu principal

iGeneration

Recherche

YiSpecter, un nouveau genre de malware iOS détecté en Asie

Florian Innocente

lundi 05 octobre 2015 à 14:45 • 19

iOS

Palo Alto Networks a publié un rapport détaillé sur un malware d'un nouveau genre qui frappe des terminaux iOS, qu'ils soient jailbreakés ou non. La société américaine avait précédemment tiré la sonnette d'alarme à propos de l'affaire XcodeGhost.

Baptisé YiSpecter, ce malware serait en service depuis au moins novembre 2014, il touche essentiellement les utilisateurs en Chine et à Taiwan. Formé de quatre composants, il parvient à masquer sa présence à l'utilisateur de plusieurs manières. Ce peut être en rendant invisible sur l'écran d'accueil les icônes des apps qu'il installe et en éjectant des apps système qu'il remplace par des jumeaux trafiqués (Game Center, Notes, Passbook, Météo, Téléphone) ou encore en prenant la place de celle de Cydia. Quand bien même on aurait détecté et supprimé manuellement ce malware, il réapparaît automatiquement. De plus, presqu'aucun anti-virus ne détecte encore sa présence.

Un site de distribution d'apps, dont le malware YiSpecter

Sur des téléphones infectés, lorsque l'utilisateur ouvre une app normale, des pubs peuvent apparaître en plein écran. Cela semble être l'une des principales motivations. Safari peut-être également touché : sa liste de signets et son historique de visites sont modifiés pour stocker des URL envoyées par un serveur associé à ce malware. Avec l'espoir que l'utilisateur visitera ces sites. Ce dernier sait en outre collecter des informations techniques générales sur l'iPhone qui l'héberge et les transmettre vers ces serveurs.

La particularité de YiSpecter réside dans l'utilisation simultanée de certificats d'entreprise pour s'installer à grande échelle sur des iPhone non jailbrakés et d'API privées d'iOS pour faire ses petites opérations en douce. Une combinaison inédite, explique Palo Alto Networks, qui fait reculer d'un cran encore les barrières de sécurité d'iOS.

Les méthodes de propagation d'YiSpecter sont variées. Certains fournisseurs d'accès régionaux en Chine agissent sur la connexion internet qu'ils proposent à leurs clients. Ils forcent parfois l'affichage d'une publicité lorsqu'un utilisateur se promène sur certains sites afin de le pousser à installer un logiciel. Ils savent aussi détourner une requête de téléchargement d'une app en la remplaçant par une autre qu'ils veulent promouvoir.

Un ver a été également utilisé sur Windows. Une fois installé sur le PC, il subtilise à l'utilisateur la liste de ses contacts d'un célèbre groupe de discussion et distribue un fichier HTML à connotation pornographique entre les membres de ce forum. Lorsque ce fichier est ouvert, il détecte la nature de l'appareil utilisé et installe la version compatible de YiSpecter.

L'installation du malware a pu se faire aussi manuellement, depuis des boutiques d'apps non officielles. Ou bien chez des vendeurs ou des réparateurs de téléphones qui arrondissent leurs fins de mois grâce à des éditeurs d'apps. Ceux-ci les payent pour installer leurs apps sur tous les terminaux qui passent entre leurs mains.

Les auteurs de YiSpecter ont fait la promotion de leur logiciel au grand jour. Il y a eu des publicités sur des forums qui faisaient la pub d'un logiciel apte à remplacer un lecteur vidéo très connu. Enfin, une autre méthode est d'offrir des crédits à l'utilisateur d'un service de vidéos pour qu'il puisse en voir davantage s'il accepte de télécharger des apps.

D'après les indices laissés par ce malware, Palo Alto Networks cite YingMob, une société de publicité mobile comme auteur de ce logiciel. Un pas à pas est donné à la fin du rapport pour se débarrasser complètement de ces intrus et la société américaine a partagé ses découvertes techniques avec Apple et ses homologues.

[MàJ] : La faille YiSpecter est déjà corrigée par Apple

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Sortie de veille : après le départ du n°2 d’Apple, Tim Cook est-il le prochain sur la liste ?

10:44

• 42


Apple serait en pole position pour diffuser la F1 aux États-Unis avec une offre à 150 millions de dollars 🆕

07:56

• 32


Prime Day : les derniers bons plans pour équiper sa maison en domotique

11/07/2025 à 20:50

• 14


La Chine s'attaque aux batteries externes de mauvaise qualité, ce qui cause des remous chez les fabricants

11/07/2025 à 20:15

• 33


Les produits Wemo de Belkin sont poussés à la retraite sauf s'ils utilisent HomeKit

11/07/2025 à 19:30

• 8


Prime Day : découvrez les joies de DockKit avec de belles promotions

11/07/2025 à 16:45

• 0


Orange fait des essais de 5G dans la bande des 6 GHz, et les résultats sont intéressants

11/07/2025 à 15:37

• 6


Prime Day : des traqueurs Localiser dès 12 €, des étuis à lunettes, des porte-passeports, des cartes pour le portefeuille, les meilleurs accessoires en promotion

11/07/2025 à 15:10

• 11


Nintendo peut bannir une Switch 2 à cause d'un jeu acheté d'occasion (mais ce n'est pas toujours définitif)

11/07/2025 à 11:31

• 56


France Identité : des correctifs disponibles pour la carte grise et les grands iPhone

11/07/2025 à 10:31

• 15


iPad, MacBook Pro/Air, iPhone 17e : tous les nouveaux produits attendus d’ici le printemps 2026

11/07/2025 à 06:46

• 22


Notre top 5 des accessoires à avoir pendant les vacances (et en promo) !

10/07/2025 à 21:40

• 26


Apple échappe à un procès pour entente illégale sur Apple Pay aux USA

10/07/2025 à 21:15

• 10


Test de la sonnette vidéo G410 d’Aqara : toujours sur piles, mais avec un meilleur angle

10/07/2025 à 20:30

• 7


Une nouvelle fuite présente la possible maquette de l’iPhone 17 Pro noir

10/07/2025 à 20:00

• 79


Samsung aurait lancé la production de l’écran du futur iPhone pliable

10/07/2025 à 14:41

• 10