freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

YiSpecter——隐匿于iOS色情视频应用下的木马 金币
2015-10-05 23:55:35

距离XcodeGhost事件还不到一个月的时间,安全研究人员又发现了一款iOS恶意软件,这款软件针对的目标既包含越狱的手机也包含没有越狱的手机。

上个月,研究人员在苹果的官方应用商店找到了超过4000款受感染应用,感染源头是开发者用来开发应用的一款软件Xcode存在问题。

而现在,来自加州网络安全公司Palo Alto网络的研究人员们找到了一款感染了中国大陆和台湾iOS用户的恶意软件。

YiSpecter的功能

这款恶意软件被取名为YiSpecter,一旦感染了iOS设备,它就可以:

安装其他不需要的应用;
用其下载的应用替换正规的应用;
强制应用显示不需要的、全屏的广告;
更改Safari浏览器的书签和默认搜索引擎;
把用户信息发送回服务器;
在用户手动把它从设备上删除后自动重现。

目前尚不清楚多少用户已经感染了YiSpecter,但根据研究人员的报告,首例感染未越狱设备的案例应该发生于2014年11月左右。

“无论你的iPhone越狱与否,恶意软件都能被成功下载安装”,研究人员在博文中写道,“即使你手动删除了它,还是会自动重现。”

YiSpecter通过滥用私有的API使它的四个经过企业证书签名的组件从C&C服务器上安装到越狱或未越狱的手机上。

四款恶意组件中的三款能被用来隐藏它们在iOS SpringBoard上的图标,它们还会修改自己的应用名称和图标,伪装成系统应用来规避用户的检查。

YiSpecter的感染途径

根据研究,YiSpecter已经感染iOS设备10个月了,首次传播时,它把自己伪装成能让用户观看免费色情内容的应用。这款应用宣称自己是快播的私密版本。

之后应用传播的手段有:

从ISP劫持互联网流量;
使用蠕虫病毒感染腾讯QQ;
通过在线社区转播,在这些在线社区,大家安装第三方应用以获得应用开发者的推广费。

Palo Alto网络的安全研究人员已经将YiSpecter的最新信息报告给了苹果,而苹果称,他们“正在调查”此事件。

如何删除YiSpecter?

对于那些可能已经感染YiSpecter的用户,可以通过下面四步移除病毒:

进入“设置” –> “通用”–> “描述文件”删除任何奇怪的、不可信的描述文件;
删除任何名为“情涩播放器”、“快播私密版”或“快播0”;
你可以使用任何的第三方iOS管理工具,如Windows平台下的iFunBox,对设备进行管理;
检查安装的iOS应用,如Phone, Weather, Game Center, Passbook, Notes, 或者Cydia,然后删除它们。(这不会影响系统内置的程序,只会删除恶意软件)。

样本下载

Box.com 密码:YiSpecter

*参考来源:THN & Palo Alto Networks,报告原作者Claud Xiao,译/Sphinx,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

# ios # YiSpecter
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦