YiSpecter: privát API-k kihasználásával fertőző malware

A crackerek és a “fehérkalapos” információbiztonsági szakemberek macska-egér játéka az iOS szempontjából az elmúlt egy hónapban látszólag egy stabil kéthetes ciklust vett fel. A rosszfiúk által írt programokat a biztonsági elemzők megtalálják, és visszafejtik, majd két hét múlva jön az újabb kellemetlen felfedezés. Azt azért hozzá kell tennünk, hogy a hangzatos tendencia mögött általában jóval hosszabb ideje bújkáló kártevők állnak.

A KeyRaider és az XcodeGhost után ez alkalommal a YiSpecter névre keresztelt malware kódjában gyönyörködhetnek a beavatott szemek, amely – elemzők szerint – mintegy tíz hónapja jelenhetett meg. A változatosság kedvéért a YiSpectert is a Palo Alto Networks munkatársai fedezték fel, elsődleges “célközönsége” pedig, amint azt már szinte megszokhattuk, Kína és Tajvan. (Vajon csak e sorok írója vél felfedezni egy teljesen véletlenszerű mintát az utóbbi idők iOS-kártevőiben…?)

A YiSpecter a nem jailbreakelt készülékeket ugyanúgy érinti, mint a jailbreakelteket, és elég szokatlan módon terjed – offline direkt telepítéssel, internetszolgáltatók forgalmának módosításával(!), és még egy windows-os SNS-féreg is létezik, amely terjeszti.

A YiSpecter négy komponensből áll, amelyek az iOS-ben lévő privát API-kat használják olyan, rendszerszintű funkciók hívásához, mint alkalmazások telepítése vagy appok ikonjának elrejtése a SpringBoardról. A négy komponens képes egymást letölteni egy Command and Control szerverről (C&C, vezérlőszerverről), és futtatni is tudják egymást az említett privát API-k segítségével. A fertőzött készülékeken a malware továbbá képes tetszőleges alkalmazásokat letölteni, a már a készüléken lévő alkalmazásáokat másikra lecserélni, az alkalmazások végrehajtását úgy módosítani, hogy azok hirdetéseket jelenítsenek meg, valamint készülékinformációkat feltölteni a vezérlőszerverre. Egyes komponensek ezen felül beépített iOS-alkalmazások ikonját és nevét használják a felhasználók megtévesztésére.

Ennek egyik következménye, hogy ha a kártevőt manuálisan letöröljük, akkor “magától” újra meg tud jelenni a készülékünkün. A másik következmény pedig az, hogy amennyiben az alábbi jelenségeket tapasztaljuk, akkor a készülékünk valószínűleg fertőzött:

• fertőzött készülékek fájlrendszerében néhány “extra” (és hamis), magát rendszeralkalmazásnak álcázó appot találhatunk;
• néhány esetben, amikor megnyitunk egy alkalmazást, az nem fog elindulni, hanem egy teljes képernyős hirdetést látunk helyette.

A malware további érdekes tulajdonsága, hogy komponenseit “enterprise certificate”-ekkel írták alá. Ezek három kínai céghez tartoznak: a Changzhou Wangyi Information Technology Co., Ltd.; a Baiwochuangxiang Technology Co., Ltd.; illetve a Beijing Yingmob Interaction Technology co, .ltd (sic). Ezen digitális aláírásoknak köszönhetően az alkalmazásoknak nem kell sem az App Store-ba bekerülniük a terjedéshez, sem a megfertőzendő készüléknek nem kell jailbreakeltnek lennie; ehelyett a kártevő alkalmazásai az ún. In-House Distribution segítségével települhetnek.

A Palo Alto Networks már jelentette mindezeket az Apple felé, egy széleskörű technikai elemzéssel együtt, amelyet az érdeklődők is elolvashatnak ezen a linken. A cikk végén lévő vírusdefiníciós listát azoknak a felhasználóknak is érdemes elolvasniuk (és a gépükön a gyanús fájlok nevére rákeresniük, majd találat esetén a megadott hash-ekkel ellenőrizniük, hogy valóban fertőzöttek-e), akiket a működés részletei nem érdekelnek.

A malware felfedezői a következő lépéseket javasolják a fertőzésnek a készülékünkön való megtalálására és eltávolítására:

1. A készüléken nyissuk meg a Beállítások –> Általános –> Profilok (Settings –> General –> Profiles) menüpontot. Itt távolítsuk el az összes ismeretlen profilt, és azokat is, amelyek nem megbízható vagy általunk nem ismert forrásból származnak.
2. Ha találunk a készülékünkön olyan alkalmazást, amelynek a neve “情涩播放器”, “快播私密版” vagy “快播0”, akkor azokat is töröljük le.
3. A számítógépünkön egy harmadik féltől származó iOS-management illetve fájlrendszerböngésző alkalmazás, például az iFunBox segítségével csatlakozzunk a fertőzött iOS-készülékhez. Fontos megemlíteni, hogy az iTunes nem jó erre a célra, mert az nem fogja látni azokat a hamisított alkalmazásokat, amelyeket a következő lépésben keresni fogunk.
4. A látszólag az App Store-ból telepített alkalmazások (és NE a tényleges rendszeralkalmazások) között, tehát a /var/mobile/Applications mappában (és ne a /Applications-ben!) keressünk olyanokat, amelyek beépített, legitim rendszeralkalmazások nevét viselik, például Phone, Weather, Game Center, Passbook, Notes, vagy Cydia. Ezeket is töröljük ki.