YiSpecter предназначен для принудительного показа рекламы, ориентирован на iOS и пока ограничен территорией Китая и Тайваня, сообщает Help Net Security, ссылаясь на исследование Palo Alto Networks. Как показал анализ, этот модульный зловред умело маскируется и использует три сертификата, изданных Apple в рамках программы для корпоративных разработок, то есть опасен для любых устройств, как взломанных (джейлбрейком), так и залоченных.

По свидетельству экспертов, YiSpecter «распространяется необычными средствами, в том числе посредством перехвата трафика национальных интернет-провайдеров, через социальные сервисы с помощью Windows-червя, установкой приложений офлайн и прямой рекламой в интернет-сообществах». Данный adware-зловред существует в Сети уже 10 месяцев, но, судя по результатам проверок на VirusTotal, до сих пор плохо детектится.

Согласно Palo Alto, YiSpecter обычно раздается как легитимное приложение для просмотра видеороликов. После запуска он закачивает основной вредоносный компонент NoIcon, который, в свою очередь, загружает и устанавливает ADPage и NoIconUpdate. NoIcon способен собирать основные данные о зараженном устройстве и отсылать их на C&C-сервер, выполнять удаленные команды, изменять дефолтные настройки Safari, деинсталлировать легитимные приложения или отслеживать их запуск для воспроизведения рекламы с помощью ADPage. NoIconUpdate, как следует из имени, призван поддерживать актуальность и работоспособность YiSpecter.

Установку зловреда на залоченные устройства в обход строгих проверок Apple обеспечивают цифровые подписи. Как обнаружили исследователи, на первом этапе заражения YiSpecter использует легальные сертификаты, выданные корпоративным разработчикам Changzhou Wangyi Information Technology Co., Ltd и Baiwochuangxiang Technology Co., Ltd. Три последующих компонента, NoIcon, ADPage и NoIconUpdate, используют сертификат Beijing Yingmob Interaction Technology Co., Ltd. Это также позволяет YiSpecter использовать приватные API-интерфейсы iOS для проведения операций, способных нарушить безопасность устройства.

YiSpecter — не первый зловред, поражающий iOS-устройства без джейлбрейка. Такой же способностью обладают вредоносные приложения, созданные с помощью XcodeGhost, а также программа-шпион XAgent и уже обезвреженный WireLurker. Palo Alto не преминула отметить, что в недавно вышедшей iOS 9 политика в отношении корпоративных сертификатов была усовершенствована: прежде чем устанавливать внутренние разработки, пользователь может вручную создать соответствующий профиль и с помощью настроек занести его в доверенные.

После установки компоненты NoIcon, ADPage и NoIconUpdate не отображаются на главном экране iOS-устройства (в SpringBoard), так как используют скрытые иконки, поэтому их нельзя сразу обнаружить и деинсталлировать. На тот случай, если пользователь достаточно продвинут и оперирует специальным инструментом для управления iPhone или iPad, авторы YiSpecter предусмотрели дополнительную маскировку: три ключевых модуля отображаются с именами и логотипами известных системных iOS-приложений. Так, в ходе тестирования NoIcon выдавал себя за Passbook, ADPage — за Cydia, а NoIconUpdate — за Game Center.

Palo Alto уведомила Apple о новой угрозе, однако реакции пока не последовало.

Категории: Аналитика, Вредоносные программы, Главное