fbpx Skip to content

A crackerek és a “fehérkalapos” információbiztonsági szakemberek macska-egér játéka az iOS szempontjából az elmúlt egy hónapban látszólag egy stabil kéthetes ciklust vett fel. A rosszfiúk által írt programokat a biztonsági elemzők megtalálják, és visszafejtik, majd két hét múlva jön az újabb kellemetlen felfedezés. Azt azért hozzá kell tennünk, hogy a hangzatos tendencia mögött általában jóval hosszabb ideje bújkáló kártevők állnak.

YiSpecter32-500x369

KeyRaider és az XcodeGhost után ez alkalommal a YiSpecter névre keresztelt malware kódjában gyönyörködhetnek a beavatott szemek, amely – elemzők szerint – mintegy tíz hónapja jelenhetett meg. A változatosság kedvéért a YiSpectert is a Palo Alto Networks munkatársai fedezték fel, elsődleges “célközönsége” pedig, amint azt már szinte megszokhattuk, Kína és Tajvan. (Vajon csak e sorok írója vél felfedezni egy teljesen véletlenszerű mintát az utóbbi idők iOS-kártevőiben…?)

A YiSpecter a nem jailbreakelt készülékeket ugyanúgy érinti, mint a jailbreakelteket, és elég szokatlan módon terjed – offline direkt telepítéssel, internetszolgáltatók forgalmának módosításával(!), és még egy windows-os SNS-féreg is létezik, amely terjeszti.

A YiSpecter négy komponensből áll, amelyek az iOS-ben lévő privát API-kat használják olyan, rendszerszintű funkciók hívásához, mint alkalmazások telepítése vagy appok ikonjának elrejtése a SpringBoardról. A négy komponens képes egymást letölteni egy Command and Control szerverről (C&C, vezérlőszerverről), és futtatni is tudják egymást az említett privát API-k segítségével. A fertőzött készülékeken a malware továbbá képes tetszőleges alkalmazásokat letölteni, a már a készüléken lévő alkalmazásáokat másikra lecserélni, az alkalmazások végrehajtását úgy módosítani, hogy azok hirdetéseket jelenítsenek meg, valamint készülékinformációkat feltölteni a vezérlőszerverre. Egyes komponensek ezen felül beépített iOS-alkalmazások ikonját és nevét használják a felhasználók megtévesztésére.

Ennek egyik következménye, hogy ha a kártevőt manuálisan letöröljük, akkor “magától” újra meg tud jelenni a készülékünkün. A másik következmény pedig az, hogy amennyiben az alábbi jelenségeket tapasztaljuk, akkor a készülékünk valószínűleg fertőzött:

  • fertőzött készülékek fájlrendszerében néhány “extra” (és hamis), magát rendszeralkalmazásnak álcázó appot találhatunk;
  • néhány esetben, amikor megnyitunk egy alkalmazást, az nem fog elindulni, hanem egy teljes képernyős hirdetést látunk helyette.

A malware további érdekes tulajdonsága, hogy komponenseit “enterprise certificate”-ekkel írták alá. Ezek három kínai céghez tartoznak: a Changzhou Wangyi Information Technology Co., Ltd.; a Baiwochuangxiang Technology Co., Ltd.; illetve a Beijing Yingmob Interaction Technology co, .ltd (sic). Ezen digitális aláírásoknak köszönhetően az alkalmazásoknak nem kell sem az App Store-ba bekerülniük a terjedéshez, sem a megfertőzendő készüléknek nem kell jailbreakeltnek lennie; ehelyett a kártevő alkalmazásai az ún. In-House Distribution segítségével települhetnek.

A Palo Alto Networks már jelentette mindezeket az Apple felé, egy széleskörű technikai elemzéssel együtt, amelyet az érdeklődők is elolvashatnak ezen a linken. A cikk végén lévő vírusdefiníciós listát azoknak a felhasználóknak is érdemes elolvasniuk (és a gépükön a gyanús fájlok nevére rákeresniük, majd találat esetén a megadott hash-ekkel ellenőrizniük, hogy valóban fertőzöttek-e), akiket a működés részletei nem érdekelnek.

A malware felfedezői a következő lépéseket javasolják a fertőzésnek a készülékünkön való megtalálására és eltávolítására:

  1. A készüléken nyissuk meg a Beállítások –> Általános –> Profilok (Settings –> General –> Profiles) menüpontot. Itt távolítsuk el az összes ismeretlen profilt, és azokat is, amelyek nem megbízható vagy általunk nem ismert forrásból származnak.
  2. Ha találunk a készülékünkön olyan alkalmazást, amelynek a neve “情涩播放器”, “快播私密版” vagy “快播0”, akkor azokat is töröljük le.
  3. A számítógépünkön egy harmadik féltől származó iOS-management illetve fájlrendszerböngésző alkalmazás, például az iFunBox segítségével csatlakozzunk a fertőzött iOS-készülékhez. Fontos megemlíteni, hogy az iTunes nem jó erre a célra, mert az nem fogja látni azokat a hamisított alkalmazásokat, amelyeket a következő lépésben keresni fogunk.
  4. A látszólag az App Store-ból telepített alkalmazások (és NE a tényleges rendszeralkalmazások) között, tehát a /var/mobile/Applications mappában (és ne a /Applications-ben!) keressünk olyanokat, amelyek beépített, legitim rendszeralkalmazások nevét viselik, például Phone, Weather, Game Center, Passbook, Notes, vagy Cydia. Ezeket is töröljük ki.

Olvasd el a hozzászólásokat is

7 Comments

  1. Az egyik ismerkedő app bezárása után megjelenik a hirdetés teljesképernyőn, lehet, hogy az is vírus ?

  2. @robit:

    Nem 06-90-es szám jelenik meg? 🙂

  3. @robit: ellenőrizd a cikkben jelzett profilok meglétét a készülékeden, és töröld le őket, ha esetleg telepítve vannak. de ha nem használsz kínai vagy tajvani Apple ID-t, és csak az App Store-ból töltesz le appokat, akkor valószínűtlen, hogy a cikkben vázoltak miatt lenne. egy app bezárása után az nem dobhat fel semmi ilyet, de mondjuk készíts egy képernyőfotót, és linkeld be, hogy látható legyen, miről van szó.

  4. Planetreo alkalmazás , kiléptek és megjelenik egy egész oldalas hirdetés… iPaden

  5. @robit: az is lehet, hogy az app maga olyan, hogy közvetlenül kilépéskor még ezt feldobja.

  6. Jadeye; segítséget kérnék. Az új telefonhoz új iCloud -ot akrok létrehozni , pc nincs ezért csak iCloud – bol tudnék adatot másolni … A múltkor írtam , hogy nem tudok eltüntetni egy appot az iCloudbol , amit már rég töröltem … Hogy tudom ipadről / régi icloud cím / átvinni a kontaktokat, képeket…, AirDrop ?

  7. Azt nem írtam , hogy utánna törlök az iPadrol mindent és azt is az új iCloud-dal használom.


Add a Comment