Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

YiSpecter : pour la première fois, un malware iOS attaque des appareils iOS non débridés en détournant des API privées

octobre 2015 par Palo Alto Networks

L’Unit42, unité de recherches de Palo Alto Networks a découvert un nouveau malware bapitsé YiSpecter, affectant le système d’exploitation Apple iOS. YiSpecter diffère des malware antérieurs ciblant iOS, du fait qu’il attaque à la fois des appareils débridés et non débridés, par le biais de comportements malveillants inédits et nuisibles. Pour être plus précis, c’est la première fois que nous voyons un malware incontrôlé qui détourne des API privées d’iOS pour mettre en œuvre des fonctionnalités malveillantes.

Pour le moment, ce malware touche principalement les utilisateurs d’iOS résidant en Chine continentale et à Taiwan. Il se diffuse par des méthodes inhabituelles : piratage du trafic national des fournisseurs de services Internet, ver SNS sous Windows, installation d’une app en mode hors ligne et promotion d’une communauté. De nombreuses victimes ont mentionné l’infection par YiSpecter de leurs iPhones débridés ou non débridés sur les forums Internet et ont signalé le phénomène à Apple.

Le malware circule librement depuis plus de 10 mois, mais sur les 57 fournisseurs de sécurité du site Web VirusTotal, un seul le détecte à l’heure où nous publions cet article.

YiSpecter comprend quatre composants différents signés par des certificats d’entreprise. Ces composants détournent les API privées, puis se téléchargent et s’installent mutuellement à partir d’un serveur de commande et de contrôle (C2). Trois de ces composants malveillants utilisent des astuces pour rendre leurs icones invisibles dans le SpringBoard d’iOS, empêchant ainsi l’utilisateur de les localiser et de les supprimer. Les composants utilisent en outre des noms et des logos identiques à ceux des apps système pour piéger les utilisateurs iOS avertis.

Une fois un appareil iOS infecté, YiSpecter peut alors télécharger, installer et lancer des apps iOS arbitrairement, remplacer les apps existantes par celles qu’il télécharge, pirater l’exécution des autres apps pour afficher des publicités, modifier le moteur de recherche par défaut de Safari, ainsi que les signets et les pages ouvertes, et communiquer les informations de l’appareil au serveur C2. Selon les indications des victimes du malware, tous ces comportements ont été constatés lors des attaques de YiSpecter au cours des derniers mois. Parmi les autres caractéristiques de ce malware, on peut aussi citer les suivantes :
- Le malware réussit à se télécharger et à s’installer à la fois sur les iPhones débridés et non débridés.
- Même si l’utilisateur supprime manuellement le malware, il réapparaît automatiquement.
- Des outils tiers permettent de détecter la présence « d’apps système » anormales supplémentaires sur les téléphones infectés.
- Lorsque l’utilisateur ouvre une app normale sur un téléphone infecté, une publicité plein écran s’affiche.

YiSpecter est le dernier-né d’une lignée de grandes familles de malware qui ciblent les appareils iOS. Avant lui, le malware WireLurker avait prouvé qu’il était capable d’infecter les appareils iOS non débridés en faussant des certificats d’entreprise. Les chercheurs ont pour leur part démontré qu’il est possible d’exploiter des API privées pour implémenter des fonctionnalités sensibles dans iOS. Toutefois, YiSpecter est le premier malware iOS du monde réel à combiner ces deux techniques d’attaques et à affecter un plus grand nombre d’utilisateurs. Il fait donc reculer un peu plus la ligne de front de la sécurité d’iOS.

Par ailleurs, des études récentes montrent que plus de 100 apps de l’App Store ont dupé des API privées et contourné le code rigoureux de contrôle d’Apple. On peut donc en conclure que cette technique d’attaque passant par les APIs privées peut aussi être utilisée séparément et toucher tous les utilisateurs iOS usuels qui se contentent de télécharger des apps de l’App Store.

Palo Alto Networks a publié des signatures IPS et DNS qui bloquent le trafic malveillant de YiSpecter. Ce blog post contient également des indications pour supprimer manuellement YiSpecter et éviter des attaques similaires à l’avenir. Apple a également été averti.




Voir les articles précédents

    

Voir les articles suivants