YiSpecter : aucun iPhone ne lui résiste ?
Palo Alto Networks attire l’attention sur YiSpecter, un malware qui exploite les API privées d’iOS pour infecter les iPhone, jailbreakés ou non.
Nom : YiSpecter. Nature : malware. Zone d’influence : essentiellement la Chine et Taïwan. Vecteurs de propagation : détournement de trafic IP, ver diffusé sur les réseaux sociaux et installation d’applications hors ligne. Particularité : peut infecter tous les iPhone, qu’ils soient ou non jailbreakés.
Palo Alto Networks attire l’attention sur ce logiciel malveillant capable de télécharger et lancer des applications, d’en remplacer ou encore d’en détourner pour afficher de la publicité. Mais aussi de changer le moteur de recherche par défaut de Safari, de mettre des pages en favori et des les ouvrir… et de collecter des données pour les envoyer vers un serveur de contrôle distant.
Les premières discussions autour de YiSpecter remontent à près d’un an. Pour autant, sur les 57 éditeurs de solutions de sécurité associés au service en ligne VirusTotal, un seul est capable de le détecter.
Le malware comprend quatre composantes signées avec des certificats d’entreprises, ce qui leur permet d’abuser les API privées d’iOS et ainsi de s’installer depuis le serveur distant.
Sur ces quatre composantes, trois cachent leurs icônes sur l’écran d’accueil. Pour compliquer un peu plus leur détection, elles peuvent utiliser le même nom et le même logo que des applications système.
YiSpecter n’est pas le premier à contourner les procédures de sécurité d’Apple pour permettre la prise de contrôle d’iPhone non modifiés (WireLurker s’est déjà illustré dans cet exercice). Il a néanmoins la particularité d’y associer l’exploitation des API privées pour implanter des fonctionnalités dans l’OS et acquérir les droits administrateur qui en découlent.
Comme le note Silicon.fr, plus d’une centaine d’applications présentes sur l’App Store utilisent la même technique pour passer outre l’examen rigoureux du code effectué par Apple. Un souci majeur en termes de sécurité : même les utilisateurs qui n’ont pas déverrouillé leur téléphone et qui n’installent leurs applications que depuis l’App Store peuvent se faire piéger.
En plus de proposer de filtrer le trafic du serveur lié à YiSpecter, Palo Alto Networks fournit un mode d’emploi pour se débarrasser du malware.
Pour résumer le processus, il faut d’abord supprimer, dans les paramètres d’iOS, tous les profils inconnus ou suspicieux. Puis effacer les applications nommées en chinois. Troisième étape : à partir d’un gestionnaire sur PC ou Mac, supprimer les apps qui utilisent des noms génériques comme Passbook, Notes ou Téléphone.
Crédit photo : Syda Productions – Shutterstock.com