Menú principal

martes, 6 de octubre de 2015

YiSpecter: Nuevo malware en iOS con y sin Jailbreak

Un nuevo malware de iOS ha sido descubierto, el cual es capaz de atacar los dispositivos tanto con Jailbreak como sin Jailbreak. El malware denominado YiSpecter ha sido detectado por la gente de Palo Alto Networks y es un malware que está afectando, principalmente, a los usuarios de iOS en China y Taiwan.  El malware implementa acciones maliciosas haciendo hooking a las API privadas y abusa de los certificados de empresa. El malware ha estado trabajando durante 10 meses en los países mencionados anteriormente, y puede que algo más de tiempo. YiSpecter utiliza una batería de trucos para propagarse.

Las técnicas de distribución incluyen el secuestro o hijacking de tráfico de los ISP de todo un país, un gusano en Windows y una aplicación para su instalación en modo offline. Como se puede ver las técnicas de propagación y distribución han evolucionado y aumentado en compeljidad y diversidad. 

YiSpecter está compuesto de 4 componentes diferentes firmados con los certificados de la empresa. Utilizan trucos como usar el mismo nombre de la app para ocultarla,. ¿Qué aplicación utilizaban? Un reproductor denominado QVOD, del que utilizaban también el mismo logo. La app original se encuentra discontinuada. Una vez instalado el malware monta una variedad de estafas como detallan en el blog de Palo Alto.

Figura 1: Instalación de YiSpecter

En los dispositivos iOS infectados, YiSpecter puede descargar, instalar y lanzar aplicaciones iOS arbitrarias, reemplazar aplicaciones existentes y secuestrar la ejecución de otras aplicaciones, con el fin de mostrar anuncios, cambiar el motor de búsqueda predeterminada, marcadores del navegador y abrir páginas.

Ya sea un dispositivo iOS con o sin Jailbreak el malware puede ser descargado e instalado. Los usuarios infectados han comprobado que incluso eliminando lo que parece ser el malware, éste vuelve a aparecer. La eliminación manual de YiSpecter es difícil, pero posible, y desde Palo Alto se han publicado algunas instrucciones. No está siendo un buen mes para Apple en cuanto a lo que malware se refiere, hay que recordar que XCodeGhost sigue presente, y quizá sea por ello Apple haya forzado a todas las apps a ser actualizadas forzando, con el componente app transport security, a evitar las conexiones bajo HTTP.

1 comentario:

  1. ¿Desde Palo Alto se han publicado? ¿Desde Palo Alto se han publicado? Si Cervantes levantara la cabeza...

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares