YiSpecter——隐匿于iOS色情视频应用下的木马


发布人:admin分类:网络安全浏览量:31发布时间:2017-12-12

距离XcodeGhost事件还不到一个月的时间,安全研究人员又发现了一款iOS恶意软件,这款软件针对的目标既包含越狱的手机也包含没有越狱的手机。

上个月,研究人员在苹果的官方应用商店找到了超过4000款受感染应用,感染源头是开发者用来开发应用的一款软件Xcode存在问题。

而现在,来自加州网络安全公司Palo Alto网络的研究人员们找到了一款感染了中国大陆和台湾iOS用户的恶意软件。

YiSpecter的功能

这款恶意软件被取名为YiSpecter,一旦感染了iOS设备,它就可以:

安装其他不需要的应用;
用其下载的应用替换正规的应用;
强制应用显示不需要的、全屏的广告;
更改Safari浏览器的书签和默认搜索引擎;
把用户信息发送回服务器;
在用户手动把它从设备上删除后自动重现。

目前尚不清楚多少用户已经感染了YiSpecter,但根据研究人员的报告,首例感染未越狱设备的案例应该发生于2014年11月左右。

“无论你的iPhone越狱与否,恶意软件都能被成功下载安装”,研究人员在博文中写道,“即使你手动删除了它,还是会自动重现。”

YiSpecter通过滥用私有的API使它的四个经过企业证书签名的组件从C&C服务器上安装到越狱或未越狱的手机上。

四款恶意组件中的三款能被用来隐藏它们在iOS SpringBoard上的图标,它们还会修改自己的应用名称和图标,伪装成系统应用来规避用户的检查。

YiSpecter的感染途径

根据研究,YiSpecter已经感染iOS设备10个月了,首次传播时,它把自己伪装成能让用户观看免费色情内容的应用。这款应用宣称自己是快播的私密版本。

之后应用传播的手段有:

从ISP劫持互联网流量;
使用蠕虫病毒感染腾讯QQ;
通过在线社区转播,在这些在线社区,大家安装第三方应用以获得应用开发者的推广费。

Palo Alto网络的安全研究人员已经将YiSpecter的最新信息报告给了苹果,而苹果称,他们“正在调查”此事件。

如何删除YiSpecter?

对于那些可能已经感染YiSpecter的用户,可以通过下面四步移除病毒:

进入“设置” –> “通用”–> “描述文件”删除任何奇怪的、不可信的描述文件;
删除任何名为“情涩播放器”、“快播私密版”或“快播0”;
你可以使用任何的第三方iOS管理工具,如Windows平台下的iFunBox,对设备进行管理;
检查安装的iOS应用,如Phone, Weather, Game Center, Passbook, Notes, 或者Cydia,然后删除它们。(这不会影响系统内置的程序,只会删除恶意软件)。

样本下载

Box.com 密码:YiSpecter

*参考来源:THN & Palo Alto Networks,报告原作者Claud Xiao,译/Sphinx,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21265883(PV) 页面执行时间:74.981(MS)
  • xml
  • 网站地图