YiSpecter iOS kártékony kód


2015. október 6. 07:00

CH azonosító

CH-12667

Angol cím

YiSpecter iOS Malware

Felfedezés dátuma

2015.10.03.

Súlyosság

Alacsony

Érintett rendszerek

Apple
Safari
iOS for iPad
iPhone OS (iOS)

Érintett verziók

Apple iOS, Apple Safari, Apple iPad

Összefoglaló

Nemrég azonosítottak egy új Apple iOS kártékony kódot, és elnevezték YiSpecter-nek. A YiSpecter eltér a korábban látott iOS kártékony kódoktól, mert megtámadja mind a feltört, (jailbreak) és mind a nem manipulált iOS eszközöket. Pontosabban, ez az első kártékony kód, amely visszaél saját egyéni API-kal, így kikerüli az Apple App Store szigorú felülvizsgálati szabályait. Elsődlegesen érintett területek, Kína és Tajvan.

Leírás

A Palo Alto Networks kutatói 100 alkalmazást találtak az Apple App Store-ban, amely visszaélt saját API-jaival és kiiktatja az Apple hírhedten szigorú felülvizsgálati szabályait.

Ebben az esetben, a támadók nem használják az Apple App Store-t a malware terjesztésére, hanem támaszkodnak a vállalati tanúsítványok mellékhatásaként a kártékony programok telepítésére.

A YiSpecter teljeskörű jogosultságokat kap a feltelepült iOS eszközökön. Így képes letölteni, telepíteni, és elindítani több iOS alkalmazást, a meglévő alkalmazásokat képes lecserélni, más alkalmazásokban reklámhirdetéseket jelenít meg, és kicseréli a Safari alapértelmezett keresőjét. Hamisítja a Safari könyvjelzőit és megnyitott oldalait, majd feltölti az eszközök adatait a támadók szerverre.

A kutatók kielemezték, hogy a XcodeGhost és a YiSpecter hatásai nem mutatnak némi technikai hasonlóságot, a támadások nem kapcsolódnak egymáshoz.

Megoldás

Az YiSpecter eltávolítását javasoljuk a következő lépésekben:

  • Belépés a következő menűpontokba:  Beállítások -> General -> Profiles, távolítsa el az összes ismeretlen vagy nem megbízható profilt;
  • Használjon olyan harmadik iOS eszközt (pl iFunBox, bár figyelembe, hogy az Apple iTunes nem működik ez a lépés) Windows vagy Mac OS X, csatlakozzanak a iPhone-hoz vagy iPad-hoz;
  • A menedzsment eszköz, ellenőrizze az összes telepített iOS alkalmazást; ha ott van néhány apps név, mint a telefon, Időjárás, Game Center, Passbook, Notes, vagy Cydia, törölje őket.

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Misconfiguration (Konfiguráció)
Privilege escalation (jogosultság kiterjesztés)
Redirecting traffic
Security bypass (Biztonsági szabályok megkerülése)
Trójai
backdoor
execute code

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.heise.de
Egyéb referencia: www.zdnet.com
Egyéb referencia: researchcenter.paloaltonetworks.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-33073 – Windows SMB Client Elevation of Privilege sérülékenysége
CVE-2025-2254 – GitLab CE/EE sérülékenysége
CVE-2022-30190 – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution sérülékenysége
CVE-2025-24016 – Wazuh Server Deserialization of Untrusted Data sérülékenysége
CVE-2025-33053 – Web Distributed Authoring and Versioning (WebDAV) External Control of File Name or Path sérülékenysége
CVE-2025-32433 – Erlang Erlang/OTP SSH Server Missing Authentication for Critical Function sérülékenysége
CVE-2024-42009 – RoundCube Webmail Cross-Site Scripting sérülékenysége
CVE-2025-21479 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2025-5419 – Google Chromium V8 Out-of-Bounds Read and Write sérülékenysége
Tovább a sérülékenységekhez »