Se ha descubierto un nuevo malware que afecta a dispositivos iOS con y sin jailbreak. Aunque por el momento todo indica que sólo ha afectado a usuarios de China y Taiwan no deja de ser una señal preocupante.
El anuncio lo ha hecho la compañía Palo Alto Networks, que
ha publicado un completo informe sobre el nuevo malware, bautizado como
YiSpecter. Según confirma este malware es diferente a otras muestras anteriores
en su capacidad de infectar tanto a dispositivos con jailbreak o sin él a
través de comportamientos maliciosos únicos y maliciosos. Concretamente, es el
primer malware "in the wild" que abusa de APIs privadas en el sistema
iOS para implementar sus funcionalidades maliciosas.
Hay que señalar que el malware afecta principalmente a usuarios iOS de
China y Taiwan. Se propaga a través de medios inusuales, incluyendo el
secuestro de tráfico de un ISP del país, un gusano de SNS en Windows y la
instalación offline de una aplicación y su promoción a través de la comunidad.
Por otra parte aunque se confirma que el malware ha estado "in the
wild" durante más de 10 meses, al pasar por VirusTotal solo un antivirus
fue capaz de detectarlo.
YiSpecter consiste en cuatro componentes diferentes firmados por
certificados de empresa. Mediante el abuso de APIs privadas, estos componentes
descargaban e instalaban otros desde un servidor de comando y control. Tres de
los componentes maliciosos usan trucos para esconder sus iconos del entorno
iOS, para evitar que el usuario pueda encontrarlos y borrarlos. Los componentes
también usan el mismo nombre y logos que aplicaciones del sistema para engañar
a los usuarios de iOS.
Los dispositivos iOS infectados pueden descargar, instalar y ejecutar
aplicaciones iOS arbitrarias, reemplazar las aplicaciones existentes por
cualquiera que se haya descargado, modificar el funcionamiento de otras
aplicaciones para mostrar publicidad, cambiar el motor de búsqueda de Safari,
los marcadores o las páginas abiertas. Otra característica puede permitir la
reinstalación automática del malware incluso si se elimina de forma manual.
YiSpecter es el último de una familia significativa de malware para
dispositivos iOS. Ya anteriormente WireLurker había evidenciado la capacidad
para infectar dispositivos iOS sin jailbroken mediante el abuso de certificados
corporativos. También se habían publicado estudios académicos sobre el uso de
APIs privadas para implementar determinadas funcionalidades en aplicaciones
iOS. Sin embargo los investigadores de Palo Alto Networks confirman que este es
el primer malware iOS encontrado en el mundo real que combina las dos técnicas
y ha llegado a causar daño a una gran cantidad de usuarios.
Los investigadores han reportado a Apple sus hallazgos para la
revocación de los certificados corporativos empleados. Cabe señalar que con iOS
9 se requiere a los usuarios la configuración manual del perfil de
aprovisionamiento relacionado como confiable en los Ajustes antes de poder
instalar las aplicaciones corporativas. Esta característica resulta muy útil
para evitar incidentes de seguridad mediante el abuso de certificados
corporativos.
De hecho, la respuesta de Apple ante este incidente se basa en que
este malware solo afecta a aversiones anteriores de iOS que hayan descargado
malware desde fuentes no confiables. También confirman la corrección del
problema en iOS 8.4 y el bloqueo de las aplicaciones identificadas en la
distribución del malware.
Más información:
- YiSpecter: First iOS Malware That Attacks Non-jailbroken Apple iOS Devices by Abusing Private APIs http://researchcenter.paloaltonetworks.com/2015/10/yispecter-first-ios-malware-attacks-non-jailbroken-ios-devices-by-abusing-private-apis/#
- Apple’s official statement on the YiSpecter iOS malware http://www.loopinsight.com/2015/10/05/apples-official-statement-on-the-yispecter-ios-malware/