YiSpecter : un nouveau malware qui infecte les appareils iOS
L'Unit42, unité de recherches de Palo Alto Networks a découvert un nouveau malware baptisé YiSpecter, affectant le système d'exploitation Apple iOS. YiSpecter diffère des malware antérieurs ciblant iOS, du fait qu'il attaque à la fois des appareils débridés et non débridés, par le biais de comportements malveillants inédits et nuisibles. C'est la première fois qu'un malware incontrôlé détourne des API privées d'iOS pour mettre en œuvre des fonctionnalités malveillantes.
Les utilisateurs d'iOS en Chine et à Taiwan sont les plus touchés
- Pour le moment, ce malware touche principalement les utilisateurs d'iOS résidant en Chine continentale et à Taiwan. Il se diffuse par des méthodes inhabituelles : piratage du trafic national des fournisseurs de services Internet, ver SNS sous Windows, installation d'une app en mode hors ligne et promotion d'une communauté. De nombreuses victimes ont mentionné l'infection par YiSpecter de leurs iPhones débridés ou non débridés sur les forums Internet et ont signalé le phénomène à Apple.
- Le malware circule librement depuis plus de 10 mois, mais sur les 57 fournisseurs de sécurité du site Web VirusTotal, un seul le détecte à l'heure où nous publions cet article.
- YiSpecter comprend quatre composants différents signés par des certificats d'entreprise. Ces composants détournent les API privées, puis se téléchargent et s'installent mutuellement à partir d'un serveur de commande et de contrôle (C2). Trois de ces composants malveillants utilisent des astuces pour rendre leurs icônes invisibles dans le SpringBoard d'iOS, empêchant ainsi l'utilisateur de les localiser et de les supprimer. Les composants utilisent en outre des noms et des logos identiques à ceux des apps système pour piéger les utilisateurs iOS avertis.
- Une fois un appareil iOS infecté, YiSpecter peut alors télécharger, installer et lancer des apps iOS arbitrairement, remplacer les apps existantes par celles qu'il télécharge, pirater l'exécution des autres apps pour afficher des publicités, modifier le moteur de recherche par défaut de Safari, ainsi que les signets et les pages ouvertes, et communiquer les informations de l'appareil au serveur C2. Selon les indications des victimes du malware, tous ces comportements ont été constatés lors des attaques de YiSpecter au cours des derniers mois.
Le malware concerne tous les terminaux iOS
Parmi les autres caractéristiques, ce malware réussit à se télécharger et à s'installer à la fois sur les iPhones débridés et non débridés. Même si l'utilisateur supprime manuellement le malware, il réapparaît automatiquement. Des outils tiers permettent de détecter la présence " d'apps système " anormales supplémentaires sur les téléphones infectés. Lorsque l'utilisateur ouvre une app normale sur un téléphone infecté, une publicité plein écran s'affiche.
- YiSpecter est le dernier-né d'une lignée de grandes familles de malware qui ciblent les appareils iOS. Avant lui, le malware WireLurker avait prouvé qu'il était capable d'infecter les appareils iOS non débridés en faussant des certificats d'entreprise. Les chercheurs ont pour leur part démontré qu'il est possible d'exploiter des API privées pour implémenter des fonctionnalités sensibles dans iOS. Toutefois, YiSpecter est le premier malware iOS du monde réel à combiner ces deux techniques d'attaques et à affecter un plus grand nombre d'utilisateurs. Il fait donc reculer un peu plus la ligne de front de la sécurité d'iOS.
- Par ailleurs, des études récentes montrent que plus de 100 apps de l'App Store ont dupé des API privées et contourné le code rigoureux de contrôle d'Apple. On peut donc en conclure que cette technique d'attaque passant par les APIs privées peut aussi être utilisée séparément et toucher tous les utilisateurs iOS usuels qui se contentent de télécharger des apps de l'App Store.