Infos

Un logiciel publicitaire doté de certificats Apple

YiSpecter a été développé pour afficher des publicités axées sur iOS et jusqu’à présent, sa diffusion est limitée à la Chine et à Taïwan annonce Help Net Security sur la base d’une étude de Palo Alto Networks. L’analyse montre que ce malware modulaire est parvenu à se dissimuler et il utilise trois certificats délivrés par Apple dans le cadre de son programme pour entreprises, ce qui signifie qu’il représente un danger pour tous les appareils débridés ou associés à un opérateur.

D’après les experts, YiSpecter « se propage selon des méthodes inhabituelles, dont l’interception du trafic des FAI nationaux, via les services sociaux à l’aide d’un ver Windows, l’installation d’applications hors ligne et la publicité directe dans les communautés en ligne ». Cela fait 10 mois déjà que ce malware de la catégorie des logiciels publicitaires circule, mais d’après les analyses réalisées sur VirusTotal, il n’est pas beaucoup détecté jusqu’à présent.

Palo Alto explique que YiSpecter est normalement diffusé comme une application légitime pour lire des vidéos. Une fois lancé, il télécharge le composant malveillant principal baptisé NoIcon. Celui-ci télécharge à son tour ADPage et NoIconUpdate. NoIcon est capable de récolter les données de base sur l’appareil infecté et de les envoyer au serveur de commande. Il peut exécuter des commandes à distance, modifier les paramètres par défaut de Safari, désinstaller des applications légitimes ou surveiller leur exécution pour afficher des publicités à l’aide d’ADPage. NoIconUpdate, comme son nom l’indique, permet de maintenir l’actualité et les fonctions de YiSpecter.

Les signatures numériques permettent d’installer le malware sur des appareils associés à des opérateurs en déjouant les contrôles strictes d’Apple. Les chercheurs ont découvert que lors de la première étape de l’infection, YiSpecter utilise des certificats légitimes pour développeur d’entreprise octroyés à Changzhou Wangyi Information Technology Co., Ltd. et Baiwochuangxiang Technology Co., Ltd. Les trois modules suivants NoIcon, ADPage et NoIconUpdate utilisent un certificat de Beijing Yingmob Interaction Technology co, .ltd. Ceci permet également à YiSpecter d’utiliser des interfaces API iOS privées pour réaliser des opérations qui violent la sécurité de l’appareil.

YiSpecter n’est pas le premier malware capable d’infecter des appareils iOS qui n’ont pas été débridés. Les malwares développés à l’aide de XcodeGhost, ainsi que le logiciel espion XAgent et WireLurker déjà neutralisé sont dotés d’une capacité identique. Palo Alto n’a pas manqué de signaler que dans la nouvelle version diffusée récemment d’ iOS 9, la politique relative aux certificats d’entreprise avait été perfectionnée : avant d’installer des applications développées en interne, l’utilisateur peut créer manuellement le profil correspondant et utiliser les paramètres pour placer l’application dans les applications de confiance:

Une fois les composants installés, NoIcon, ADPage et NoIconUpdate n’apparaissent pas sur l’écran principal de l’appareil iOS (Springboard) car ils utilisent des icônes masquées. C’est la raison pour laquelle il n’est pas possible de les voir directement et de les désinstaller. Les auteurs de YiSpecter ont prévu un niveau de dissimulation supplémentaire au cas où l’utilisateur serait assez expérimenté et où il utiliserait un outil spécial pour gérer l’iPhone ou l’iPad : les trois modules clés s’affichent sous le nom et le logo d’applications système iOS connues. Ainsi, lors des essais, NoIcon s’est fait passer pour Passbook, ADPage a pris l’apparence de Cydia et NoIconUpdate a prétendu être Game Center.

Palo Alto a signalé la nouvelle menace à Apple, mais celle-ci n’a toutefois pas encore réagi.

Source: Help Net Security

Un logiciel publicitaire doté de certificats Apple

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception