YiSpecter iOS kártékony kód


2015. október 6. 07:00

CH azonosító

CH-12667

Angol cím

YiSpecter iOS Malware

Felfedezés dátuma

2015.10.03.

Súlyosság

Alacsony

Érintett rendszerek

Apple
Safari
iOS for iPad
iPhone OS (iOS)

Érintett verziók

Apple iOS, Apple Safari, Apple iPad

Összefoglaló

Nemrég azonosítottak egy új Apple iOS kártékony kódot, és elnevezték YiSpecter-nek. A YiSpecter eltér a korábban látott iOS kártékony kódoktól, mert megtámadja mind a feltört, (jailbreak) és mind a nem manipulált iOS eszközöket. Pontosabban, ez az első kártékony kód, amely visszaél saját egyéni API-kal, így kikerüli az Apple App Store szigorú felülvizsgálati szabályait. Elsődlegesen érintett területek, Kína és Tajvan.

Leírás

A Palo Alto Networks kutatói 100 alkalmazást találtak az Apple App Store-ban, amely visszaélt saját API-jaival és kiiktatja az Apple hírhedten szigorú felülvizsgálati szabályait.

Ebben az esetben, a támadók nem használják az Apple App Store-t a malware terjesztésére, hanem támaszkodnak a vállalati tanúsítványok mellékhatásaként a kártékony programok telepítésére.

A YiSpecter teljeskörű jogosultságokat kap a feltelepült iOS eszközökön. Így képes letölteni, telepíteni, és elindítani több iOS alkalmazást, a meglévő alkalmazásokat képes lecserélni, más alkalmazásokban reklámhirdetéseket jelenít meg, és kicseréli a Safari alapértelmezett keresőjét. Hamisítja a Safari könyvjelzőit és megnyitott oldalait, majd feltölti az eszközök adatait a támadók szerverre.

A kutatók kielemezték, hogy a XcodeGhost és a YiSpecter hatásai nem mutatnak némi technikai hasonlóságot, a támadások nem kapcsolódnak egymáshoz.

Megoldás

Az YiSpecter eltávolítását javasoljuk a következő lépésekben:

  • Belépés a következő menűpontokba:  Beállítások -> General -> Profiles, távolítsa el az összes ismeretlen vagy nem megbízható profilt;
  • Használjon olyan harmadik iOS eszközt (pl iFunBox, bár figyelembe, hogy az Apple iTunes nem működik ez a lépés) Windows vagy Mac OS X, csatlakozzanak a iPhone-hoz vagy iPad-hoz;
  • A menedzsment eszköz, ellenőrizze az összes telepített iOS alkalmazást; ha ott van néhány apps név, mint a telefon, Időjárás, Game Center, Passbook, Notes, vagy Cydia, törölje őket.

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Misconfiguration (Konfiguráció)
Privilege escalation (jogosultság kiterjesztés)
Redirecting traffic
Security bypass (Biztonsági szabályok megkerülése)
Trójai
backdoor
execute code

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.heise.de
Egyéb referencia: www.zdnet.com
Egyéb referencia: researchcenter.paloaltonetworks.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »