Palo Alto Networks a publié un rapport détaillé sur un malware d'un nouveau genre qui frappe des terminaux iOS, qu'ils soient jailbreakés ou non. La société américaine avait précédemment tiré la sonnette d'alarme à propos de l'affaire XcodeGhost.
Baptisé YiSpecter, ce malware serait en service depuis au moins novembre 2014, il touche essentiellement les utilisateurs en Chine et à Taiwan. Formé de quatre composants, il parvient à masquer sa présence à l'utilisateur de plusieurs manières. Ce peut être en rendant invisible sur l'écran d'accueil les icônes des apps qu'il installe et en éjectant des apps système qu'il remplace par des jumeaux trafiqués (Game Center, Notes, Passbook, Météo, Téléphone) ou encore en prenant la place de celle de Cydia. Quand bien même on aurait détecté et supprimé manuellement ce malware, il réapparaît automatiquement. De plus, presqu'aucun anti-virus ne détecte encore sa présence.
Sur des téléphones infectés, lorsque l'utilisateur ouvre une app normale, des pubs peuvent apparaître en plein écran. Cela semble être l'une des principales motivations. Safari peut-être également touché : sa liste de signets et son historique de visites sont modifiés pour stocker des URL envoyées par un serveur associé à ce malware. Avec l'espoir que l'utilisateur visitera ces sites. Ce dernier sait en outre collecter des informations techniques générales sur l'iPhone qui l'héberge et les transmettre vers ces serveurs.
La particularité de YiSpecter réside dans l'utilisation simultanée de certificats d'entreprise pour s'installer à grande échelle sur des iPhone non jailbrakés et d'API privées d'iOS pour faire ses petites opérations en douce. Une combinaison inédite, explique Palo Alto Networks, qui fait reculer d'un cran encore les barrières de sécurité d'iOS.
Les méthodes de propagation d'YiSpecter sont variées. Certains fournisseurs d'accès régionaux en Chine agissent sur la connexion internet qu'ils proposent à leurs clients. Ils forcent parfois l'affichage d'une publicité lorsqu'un utilisateur se promène sur certains sites afin de le pousser à installer un logiciel. Ils savent aussi détourner une requête de téléchargement d'une app en la remplaçant par une autre qu'ils veulent promouvoir.
Un ver a été également utilisé sur Windows. Une fois installé sur le PC, il subtilise à l'utilisateur la liste de ses contacts d'un célèbre groupe de discussion et distribue un fichier HTML à connotation pornographique entre les membres de ce forum. Lorsque ce fichier est ouvert, il détecte la nature de l'appareil utilisé et installe la version compatible de YiSpecter.
L'installation du malware a pu se faire aussi manuellement, depuis des boutiques d'apps non officielles. Ou bien chez des vendeurs ou des réparateurs de téléphones qui arrondissent leurs fins de mois grâce à des éditeurs d'apps. Ceux-ci les payent pour installer leurs apps sur tous les terminaux qui passent entre leurs mains.
Les auteurs de YiSpecter ont fait la promotion de leur logiciel au grand jour. Il y a eu des publicités sur des forums qui faisaient la pub d'un logiciel apte à remplacer un lecteur vidéo très connu. Enfin, une autre méthode est d'offrir des crédits à l'utilisateur d'un service de vidéos pour qu'il puisse en voir davantage s'il accepte de télécharger des apps.
D'après les indices laissés par ce malware, Palo Alto Networks cite YingMob, une société de publicité mobile comme auteur de ce logiciel. Un pas à pas est donné à la fin du rapport pour se débarrasser complètement de ces intrus et la société américaine a partagé ses découvertes techniques avec Apple et ses homologues.
