Nom : YiSpecter. Nature : malware. Zone d’influence : essentiellement la Chine et Taïwan. Vecteurs de propagation : détournement de trafic IP, ver diffusé sur les réseaux sociaux et installation d’applications hors ligne. Particularité : peut infecter tous les iPhone, qu’ils soient ou non jailbreakés.
Palo Alto Networks attire l’attention sur ce logiciel malveillant capable de télécharger et lancer des applications, d’en remplacer ou encore d’en détourner pour afficher de la publicité. Mais aussi de changer le moteur de recherche par défaut de Safari, de mettre des pages en favori et des les ouvrir… et de collecter des données pour les envoyer vers un serveur de contrôle distant.
Les premières discussions autour de YiSpecter remontent à près d’un an. Pour autant, sur les 57 éditeurs de solutions de sécurité associés au service en ligne VirusTotal, un seul est capable de le détecter.
Le malware comprend quatre composantes signées avec des certificats d’entreprises, ce qui leur permet d’abuser les API privées d’iOS et ainsi de s’installer depuis le serveur distant.
Sur ces quatre composantes, trois cachent leurs icônes sur l’écran d’accueil. Pour compliquer un peu plus leur détection, elles peuvent utiliser le même nom et le même logo que des applications système.
YiSpecter n’est pas le premier à contourner les procédures de sécurité d’Apple pour permettre la prise de contrôle d’iPhone non modifiés (WireLurker s’est déjà illustré dans cet exercice). Il a néanmoins la particularité d’y associer l’exploitation des API privées pour implanter des fonctionnalités dans l’OS et acquérir les droits administrateur qui en découlent.
Comme le note Silicon.fr, plus d’une centaine d’applications présentes sur l’App Store utilisent la même technique pour passer outre l’examen rigoureux du code effectué par Apple. Un souci majeur en termes de sécurité : même les utilisateurs qui n’ont pas déverrouillé leur téléphone et qui n’installent leurs applications que depuis l’App Store peuvent se faire piéger.
En plus de proposer de filtrer le trafic du serveur lié à YiSpecter, Palo Alto Networks fournit un mode d’emploi pour se débarrasser du malware.
Pour résumer le processus, il faut d’abord supprimer, dans les paramètres d’iOS, tous les profils inconnus ou suspicieux. Puis effacer les applications nommées en chinois. Troisième étape : à partir d’un gestionnaire sur PC ou Mac, supprimer les apps qui utilisent des noms génériques comme Passbook, Notes ou Téléphone.
Crédit photo : Syda Productions – Shutterstock.com
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…