Un logiciel publicitaire doté de certificats Apple

YiSpecter a été développé pour afficher des publicités axées sur iOS et jusqu’à présent, sa diffusion est limitée à la Chine et à Taïwan annonce Help Net Security sur la base d’une étude de Palo Alto Networks. L’analyse montre que ce malware modulaire est parvenu à se dissimuler et il utilise trois certificats délivrés par Apple dans le cadre de son programme pour entreprises, ce qui signifie qu’il représente un danger pour tous les appareils débridés ou associés à un opérateur.

D’après les experts, YiSpecter « se propage selon des méthodes inhabituelles, dont l’interception du trafic des FAI nationaux, via les services sociaux à l’aide d’un ver Windows, l’installation d’applications hors ligne et la publicité directe dans les communautés en ligne ». Cela fait 10 mois déjà que ce malware de la catégorie des logiciels publicitaires circule, mais d’après les analyses réalisées sur VirusTotal, il n’est pas beaucoup détecté jusqu’à présent.

Palo Alto explique que YiSpecter est normalement diffusé comme une application légitime pour lire des vidéos. Une fois lancé, il télécharge le composant malveillant principal baptisé NoIcon. Celui-ci télécharge à son tour ADPage et NoIconUpdate. NoIcon est capable de récolter les données de base sur l’appareil infecté et de les envoyer au serveur de commande. Il peut exécuter des commandes à distance, modifier les paramètres par défaut de Safari, désinstaller des applications légitimes ou surveiller leur exécution pour afficher des publicités à l’aide d’ADPage. NoIconUpdate, comme son nom l’indique, permet de maintenir l’actualité et les fonctions de YiSpecter.

Les signatures numériques permettent d’installer le malware sur des appareils associés à des opérateurs en déjouant les contrôles strictes d’Apple. Les chercheurs ont découvert que lors de la première étape de l’infection, YiSpecter utilise des certificats légitimes pour développeur d’entreprise octroyés à Changzhou Wangyi Information Technology Co., Ltd. et Baiwochuangxiang Technology Co., Ltd. Les trois modules suivants NoIcon, ADPage et NoIconUpdate utilisent un certificat de Beijing Yingmob Interaction Technology co, .ltd. Ceci permet également à YiSpecter d’utiliser des interfaces API iOS privées pour réaliser des opérations qui violent la sécurité de l’appareil.

YiSpecter n’est pas le premier malware capable d’infecter des appareils iOS qui n’ont pas été débridés. Les malwares développés à l’aide de XcodeGhost, ainsi que le logiciel espion XAgent et WireLurker déjà neutralisé sont dotés d’une capacité identique. Palo Alto n’a pas manqué de signaler que dans la nouvelle version diffusée récemment d’ iOS 9, la politique relative aux certificats d’entreprise avait été perfectionnée : avant d’installer des applications développées en interne, l’utilisateur peut créer manuellement le profil correspondant et utiliser les paramètres pour placer l’application dans les applications de confiance:

Une fois les composants installés, NoIcon, ADPage et NoIconUpdate n’apparaissent pas sur l’écran principal de l’appareil iOS (Springboard) car ils utilisent des icônes masquées. C’est la raison pour laquelle il n’est pas possible de les voir directement et de les désinstaller. Les auteurs de YiSpecter ont prévu un niveau de dissimulation supplémentaire au cas où l’utilisateur serait assez expérimenté et où il utiliserait un outil spécial pour gérer l’iPhone ou l’iPad : les trois modules clés s’affichent sous le nom et le logo d’applications système iOS connues. Ainsi, lors des essais, NoIcon s’est fait passer pour Passbook, ADPage a pris l’apparence de Cydia et NoIconUpdate a prétendu être Game Center.

Palo Alto a signalé la nouvelle menace à Apple, mais celle-ci n’a toutefois pas encore réagi.

Source: Help Net Security

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *