YiSpecter, un nouveau genre de malware iOS détecté en Asie

Florian Innocente |

Palo Alto Networks a publié un rapport détaillé sur un malware d'un nouveau genre qui frappe des terminaux iOS, qu'ils soient jailbreakés ou non. La société américaine avait précédemment tiré la sonnette d'alarme à propos de l'affaire XcodeGhost.

Baptisé YiSpecter, ce malware serait en service depuis au moins novembre 2014, il touche essentiellement les utilisateurs en Chine et à Taiwan. Formé de quatre composants, il parvient à masquer sa présence à l'utilisateur de plusieurs manières. Ce peut être en rendant invisible sur l'écran d'accueil les icônes des apps qu'il installe et en éjectant des apps système qu'il remplace par des jumeaux trafiqués (Game Center, Notes, Passbook, Météo, Téléphone) ou encore en prenant la place de celle de Cydia. Quand bien même on aurait détecté et supprimé manuellement ce malware, il réapparaît automatiquement. De plus, presqu'aucun anti-virus ne détecte encore sa présence.

Un site de distribution d'apps, dont le malware YiSpecter

Sur des téléphones infectés, lorsque l'utilisateur ouvre une app normale, des pubs peuvent apparaître en plein écran. Cela semble être l'une des principales motivations. Safari peut-être également touché : sa liste de signets et son historique de visites sont modifiés pour stocker des URL envoyées par un serveur associé à ce malware. Avec l'espoir que l'utilisateur visitera ces sites. Ce dernier sait en outre collecter des informations techniques générales sur l'iPhone qui l'héberge et les transmettre vers ces serveurs.

La particularité de YiSpecter réside dans l'utilisation simultanée de certificats d'entreprise pour s'installer à grande échelle sur des iPhone non jailbrakés et d'API privées d'iOS pour faire ses petites opérations en douce. Une combinaison inédite, explique Palo Alto Networks, qui fait reculer d'un cran encore les barrières de sécurité d'iOS.

Les méthodes de propagation d'YiSpecter sont variées. Certains fournisseurs d'accès régionaux en Chine agissent sur la connexion internet qu'ils proposent à leurs clients. Ils forcent parfois l'affichage d'une publicité lorsqu'un utilisateur se promène sur certains sites afin de le pousser à installer un logiciel. Ils savent aussi détourner une requête de téléchargement d'une app en la remplaçant par une autre qu'ils veulent promouvoir.

Un ver a été également utilisé sur Windows. Une fois installé sur le PC, il subtilise à l'utilisateur la liste de ses contacts d'un célèbre groupe de discussion et distribue un fichier HTML à connotation pornographique entre les membres de ce forum. Lorsque ce fichier est ouvert, il détecte la nature de l'appareil utilisé et installe la version compatible de YiSpecter.

L'installation du malware a pu se faire aussi manuellement, depuis des boutiques d'apps non officielles. Ou bien chez des vendeurs ou des réparateurs de téléphones qui arrondissent leurs fins de mois grâce à des éditeurs d'apps. Ceux-ci les payent pour installer leurs apps sur tous les terminaux qui passent entre leurs mains.

Les auteurs de YiSpecter ont fait la promotion de leur logiciel au grand jour. Il y a eu des publicités sur des forums qui faisaient la pub d'un logiciel apte à remplacer un lecteur vidéo très connu. Enfin, une autre méthode est d'offrir des crédits à l'utilisateur d'un service de vidéos pour qu'il puisse en voir davantage s'il accepte de télécharger des apps.

D'après les indices laissés par ce malware, Palo Alto Networks cite YingMob, une société de publicité mobile comme auteur de ce logiciel. Un pas à pas est donné à la fin du rapport pour se débarrasser complètement de ces intrus et la société américaine a partagé ses découvertes techniques avec Apple et ses homologues.

[MàJ] : La faille YiSpecter est déjà corrigée par Apple

Tags
#malware #YiSpecter #sécurité
avatar Gaillard | 

Ca fait froid dans le dos la complexite des malwares de maintenant !

avatar frankm | 

Ca détourne le système de distribution en entreprise, non ?
Il faut dans iOS une option qui passe l'iPhone en mode flotte d'entreprise, cette option autorise le contrôle et tout ce qui suit...

avatar C1rc3@0rc | 

Oui.
Il n'y a pas d'exploitation de faille mais détournement du mécanisme permettant des applications d'entreprises. Et les opérateurs chinois semblent être impliques. Bref ...

avatar Kimaero | 

« L'installation du malware a pu se faire aussi manuellement, depuis des boutiques d'apps non officielles. Ou bien chez des vendeurs ou des réparateurs de téléphones qui arrondissent leurs fins de mois grâce à des éditeurs d'apps. Ceux-ci les payent pour installer leurs apps sur tous les terminaux qui passent entre leurs mains. »

Fallait commencer par ça.
Je pense qu'on ne craint rien...

avatar Thegoldfinger | 

@kimaro

Oui en gros, pas de risque.

avatar CNNN | 

"Sur des téléphones infectés, lorsque l'utilisateur ouvre une app normale, des pubs peuvent apparaître en plein écran."

L'application MacG serait elle aussi infectée ??

-> []

avatar iVador | 

Encore en Asie comme le virus de la grippe :p

avatar Yohmi | 

Le mode de propagation par la volonté du FAI, c'est hallucinant.

avatar heret | 

Le terme malandrin n'a pas été employé. Décidément, la qualité rédactionnelle est en baisse :P

avatar Norandy | 

Donc si j'ai bien compris il faut absolument télécharger une application pour être infecté. (Sauf installation manuelle et/ou depuis le vers sur Windows).
Mais l'application est donc sur l'appstore officiel?

avatar Sostène Cambrut | 

@Norandy

Non. Le malware est installé via un certificat d'entreprise.

avatar Hideyasu | 

Les méthodes de propagation sont vraiment inquiétantes, entre les réparateurs qui ajoutent des applications sur le téléphone de quelqu'un et les fai chinois qui manipule la connexion pour télécharger le logiciel ça fait vraiment peur.

avatar 0lf | 

D'après la source :
"Note that, in Apple’s just-released iOS 9, enterprise certificate security has been improved. Users now must manually set a related provisioning profile as “trusted” in Settings before they can install Enterprise provisioned apps."
En gros, si on est pas allé autoriser manuellement dans réglages les quelques certificats utilisés pour l'attaque, pas de risque ?

avatar johannk | 

@CNNN

Non, reviens, tu n'as pas tort en plus. Les sites MacG/iGen sont aussi infectés aujourd'hui, par une variante du malware dont on parle ici, dénommée YiSpecter_Lidl !

Ah, les malandrins !!

avatar CNNN | 

@johannk :
Lidl sur un site Apple c'est drôle quand même ^^
Campagne ciblée Android serait plus rentable je pense...

avatar CNNN | 

@johannk :
Puis jai un abonnement MacG donc jai le droit d'en faire une blague :)

avatar shadoxas | 

moi qui croyais qu'ios était le parangon de la sécurité.....je vais de ce pas vendre mon iphone et acheter un blackberry

avatar iPop | 

@shadoxas :
Elle même temps avec tout ses gens qui désirent les Alpha d'iOS ....à vouloir coûte que coûte du changement et ...des histoires.

avatar shadoxas | 

oh c'est un petit beug qui touche pas grand monde ^^

CONNEXION UTILISATEUR