Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

YiSpecter: nuovo malware per iOS

apple  jailbreak  YiSpecter   martedì, 6 ottobre 2015

Gli esperti di Palo Alto Networks hanno recentemente pubblicato un dettagliato resoconto su YiSpecter, un nuovo malware per il sistema mobile iOS di Apple in grado di infettare i dispositivi indipendentemente dal fatto che sia stato effettuato o meno il jailbreak.

Stando a quanto riportato dagli autori del rapporto, YiSpecter è il primo esempio di malware iOS che sfrutta illecitamente le API (Application Programming Interface) private di Apple per svolgere le sue funzionalità malevole.

YiSpecter è formato da quattro diversi componenti firmati con certificati aziendali. Sfruttando API private, questi componenti si scaricano e installano l’un l’altro da un server C&C (Comando e Controllo). Tre di questi componenti usano trucchi per rimuovere le loro icone dalla SpringBoard di iOS. I componenti utilizzano inoltre lo stesso nome e icona di applicazioni di sistema per ingannare gli utenti.

Al momento il malware, apparentemente attivo da almeno 10 mesi, colpisce soprattutto utenti in Cina e Taiwan. Si diffonde tramite mezzi inconsueti, tra cui il dirottamento del traffico Internet da ISP a livello nazionale, un worm su Windows, l’installazione diretta di app offline e la promozione su social network, forum e comunità online.

Una volta infettato un dispositivo iOS, YiSpecter è in grado di eseguire le seguenti azioni malevole:

  • installare applicazioni indesiderate;
  • sostituire applicazioni legittime con quelle scaricate;
  • forzare alcune app a visualizzare annunci pubblicitari a schermo intero;
  • modificare i segnalibri e i motori di ricerca impostati sul browser Safari;
  • inviare informazioni relative all’utente e al sistema al server C&C;
  • ricomparire automaticamente anche dopo la cancellazione manuale dal dispositivo.

Il rapporto citato include anche indicatori di compromissione (hash dei vari componenti del malware), suggerimenti per la prevenzione e istruzioni per la rimozione del malware dai dispositivi infetti.

Gli esperti di Palo Alto Networks hanno segnalato il problema di sicurezza relativo al malware YiSpecter ad Apple, che ha risposto nel giro di poche ore con un comunicato alla rivista online The Loop in cui afferma che il problema riguarda solamente utenti con versioni vecchie di iOS che hanno scaricato il malware da fonti non attendibili.

Apple dichiara di aver affrontato e risolto questo problema specifico in iOS 8.4 e di aver bloccato tutte le app identificate che distribuiscono questo malware. La casa di Cupertino incoraggia i suoi clienti ad aggiornarsi all’ultima versione di iOS (9.0.2) e a scaricare app solo dall’App Store ufficiale.

In conclusione, è possibile affermare che le versioni di iOS dalla 8.4 in su (compresa la 9) sono al sicuro da YiSpecter.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Apple (24 marzo 2020)

26 marzo 2020

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, iPadOS, tvOS, watchOS, Safari, iTunes e iCloud per Windows, Xcode.Leggi tutto

Aggiornamenti di sicurezza per prodotti Apple (28 gennaio 2020)

29 gennaio 2020

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, iPadOS, tvOS, watchOS, Safari e iTunes per Windows.Leggi tutto

Aggiornamenti di sicurezza per prodotti Apple (10-11 dicembre 2019)

12 dicembre 2019

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, iPadOS, tvOS, watchOS, Safari, Xcode, iTunes per Windows e iCloud per Windows.Leggi tutto