A crackerek és a “fehérkalapos” információbiztonsági szakemberek macska-egér játéka az iOS szempontjából az elmúlt egy hónapban látszólag egy stabil kéthetes ciklust vett fel. A rosszfiúk által írt programokat a biztonsági elemzők megtalálják, és visszafejtik, majd két hét múlva jön az újabb kellemetlen felfedezés. Azt azért hozzá kell tennünk, hogy a hangzatos tendencia mögött általában jóval hosszabb ideje bújkáló kártevők állnak.
A KeyRaider és az XcodeGhost után ez alkalommal a YiSpecter névre keresztelt malware kódjában gyönyörködhetnek a beavatott szemek, amely – elemzők szerint – mintegy tíz hónapja jelenhetett meg. A változatosság kedvéért a YiSpectert is a Palo Alto Networks munkatársai fedezték fel, elsődleges “célközönsége” pedig, amint azt már szinte megszokhattuk, Kína és Tajvan. (Vajon csak e sorok írója vél felfedezni egy teljesen véletlenszerű mintát az utóbbi idők iOS-kártevőiben…?)
A YiSpecter a nem jailbreakelt készülékeket ugyanúgy érinti, mint a jailbreakelteket, és elég szokatlan módon terjed – offline direkt telepítéssel, internetszolgáltatók forgalmának módosításával(!), és még egy windows-os SNS-féreg is létezik, amely terjeszti.
A YiSpecter négy komponensből áll, amelyek az iOS-ben lévő privát API-kat használják olyan, rendszerszintű funkciók hívásához, mint alkalmazások telepítése vagy appok ikonjának elrejtése a SpringBoardról. A négy komponens képes egymást letölteni egy Command and Control szerverről (C&C, vezérlőszerverről), és futtatni is tudják egymást az említett privát API-k segítségével. A fertőzött készülékeken a malware továbbá képes tetszőleges alkalmazásokat letölteni, a már a készüléken lévő alkalmazásáokat másikra lecserélni, az alkalmazások végrehajtását úgy módosítani, hogy azok hirdetéseket jelenítsenek meg, valamint készülékinformációkat feltölteni a vezérlőszerverre. Egyes komponensek ezen felül beépített iOS-alkalmazások ikonját és nevét használják a felhasználók megtévesztésére.
Ennek egyik következménye, hogy ha a kártevőt manuálisan letöröljük, akkor “magától” újra meg tud jelenni a készülékünkün. A másik következmény pedig az, hogy amennyiben az alábbi jelenségeket tapasztaljuk, akkor a készülékünk valószínűleg fertőzött:
- fertőzött készülékek fájlrendszerében néhány “extra” (és hamis), magát rendszeralkalmazásnak álcázó appot találhatunk;
- néhány esetben, amikor megnyitunk egy alkalmazást, az nem fog elindulni, hanem egy teljes képernyős hirdetést látunk helyette.
A malware további érdekes tulajdonsága, hogy komponenseit “enterprise certificate”-ekkel írták alá. Ezek három kínai céghez tartoznak: a Changzhou Wangyi Information Technology Co., Ltd.; a Baiwochuangxiang Technology Co., Ltd.; illetve a Beijing Yingmob Interaction Technology co, .ltd (sic). Ezen digitális aláírásoknak köszönhetően az alkalmazásoknak nem kell sem az App Store-ba bekerülniük a terjedéshez, sem a megfertőzendő készüléknek nem kell jailbreakeltnek lennie; ehelyett a kártevő alkalmazásai az ún. In-House Distribution segítségével települhetnek.
A Palo Alto Networks már jelentette mindezeket az Apple felé, egy széleskörű technikai elemzéssel együtt, amelyet az érdeklődők is elolvashatnak ezen a linken. A cikk végén lévő vírusdefiníciós listát azoknak a felhasználóknak is érdemes elolvasniuk (és a gépükön a gyanús fájlok nevére rákeresniük, majd találat esetén a megadott hash-ekkel ellenőrizniük, hogy valóban fertőzöttek-e), akiket a működés részletei nem érdekelnek.
A malware felfedezői a következő lépéseket javasolják a fertőzésnek a készülékünkön való megtalálására és eltávolítására:
- A készüléken nyissuk meg a Beállítások –> Általános –> Profilok (Settings –> General –> Profiles) menüpontot. Itt távolítsuk el az összes ismeretlen profilt, és azokat is, amelyek nem megbízható vagy általunk nem ismert forrásból származnak.
- Ha találunk a készülékünkön olyan alkalmazást, amelynek a neve “情涩播放器”, “快播私密版” vagy “快播0”, akkor azokat is töröljük le.
- A számítógépünkön egy harmadik féltől származó iOS-management illetve fájlrendszerböngésző alkalmazás, például az iFunBox segítségével csatlakozzunk a fertőzött iOS-készülékhez. Fontos megemlíteni, hogy az iTunes nem jó erre a célra, mert az nem fogja látni azokat a hamisított alkalmazásokat, amelyeket a következő lépésben keresni fogunk.
- A látszólag az App Store-ból telepített alkalmazások (és NE a tényleges rendszeralkalmazások) között, tehát a /var/mobile/Applications mappában (és ne a /Applications-ben!) keressünk olyanokat, amelyek beépített, legitim rendszeralkalmazások nevét viselik, például Phone, Weather, Game Center, Passbook, Notes, vagy Cydia. Ezeket is töröljük ki.
7 Comments
Az egyik ismerkedő app bezárása után megjelenik a hirdetés teljesképernyőn, lehet, hogy az is vírus ?
@robit:
Nem 06-90-es szám jelenik meg? 🙂
@robit: ellenőrizd a cikkben jelzett profilok meglétét a készülékeden, és töröld le őket, ha esetleg telepítve vannak. de ha nem használsz kínai vagy tajvani Apple ID-t, és csak az App Store-ból töltesz le appokat, akkor valószínűtlen, hogy a cikkben vázoltak miatt lenne. egy app bezárása után az nem dobhat fel semmi ilyet, de mondjuk készíts egy képernyőfotót, és linkeld be, hogy látható legyen, miről van szó.
Planetreo alkalmazás , kiléptek és megjelenik egy egész oldalas hirdetés… iPaden
@robit: az is lehet, hogy az app maga olyan, hogy közvetlenül kilépéskor még ezt feldobja.
Jadeye; segítséget kérnék. Az új telefonhoz új iCloud -ot akrok létrehozni , pc nincs ezért csak iCloud – bol tudnék adatot másolni … A múltkor írtam , hogy nem tudok eltüntetni egy appot az iCloudbol , amit már rég töröltem … Hogy tudom ipadről / régi icloud cím / átvinni a kontaktokat, képeket…, AirDrop ?
Azt nem írtam , hogy utánna törlök az iPadrol mindent és azt is az új iCloud-dal használom.