Специалисты компании Palo Alto Networks сообщают, что обнаружили новую малварь, ориентированную на пользователей iOS. Вредонос, распространяющийся преимущественно на территории Китая и Тайваня, получил название YiSpecter. Отличительной чертой вредоносной программы является то, что она с легкостью поражает как джейлбрейкнутые устройства, так и залоченные.
Масштабы заражения до сих пор неизвестны, но, скорее всего, дело плохо. По данным экспертов, впервые YiSpecter был замечен еще в ноябре 2014 года, но тогда он распространялся среди аппаратов без джейлбрейка. С тех пор малварь претерпела определенные изменения.
Впервые YiSpecter обнаружили, когда он выдавал себя за порно-плеер. Вредонос маскировался под приватную версию некогда популярного на Востоке приложения QVOD, разработанного Kuaibo для шеринга порно-роликов. Кроме того, в арсенале YiSpecter числятся такие методы распространения, как перехват трафика интернет провайдеров, червь для Windows, который сначала атаковал мессенджер Tencent QQ, и даже распространение через онлайн-сообщества, где пользователи устанавливают приложения в обмен на промо-вознаграждения от разработчиков.
YiSpecter содержит четыре компонента, которые подписаны энтерпрайз-сертификатами. Это, а также использование приватных API и фреймворка MobileInstallation, позволяют вредоносу использовать различные трюки для сокрытия своего присутствия в системе. К примеру, YiSpecter может использовать то же имя и логотип, что и легитимное системное приложение, или прятать свои иконки от SpringBoard, чтобы пользователь не сумел найти их и удалить.
«На зараженном iOS-устройстве YiSpecter может: самостоятельно скачивать, устанавливать и запускать различные приложения, заменять существующие приложения фальшивыми, взламывать другие приложения, с целью отображения полноэкранной рекламы, изменять настройки поиска по умолчанию в Safari, вносить изменения в открытые в Safari страницы и закладки, а также связываться с C&C серверами и передавать им всю информацию о зараженном устройстве», — сообщают эксперты Palo Alto Networks.
Удалить YiSpecter не так просто. Если пользователь применит обычное удаление, малварь легко восстановит себя в системе. Поэтому специалисты Palo Alto Networks составили следующую инструкцию:
- Зайти в Settings –> General –> Profiles и удалить все неизвестные и недоверенные профили
- Удалить любые установленные приложения, содержащие в названии情涩播放器, 快播私密版 или 快播0
- Воспользоваться сторонними инструментами для iOS менеджемента, к примеру, iFunBox, для подключения iPhone или iPad
- Проверить установленные iOS-приложения, такие как Phone, Weather, Game Center, Passbook, Notes и Cydia и удалить их (это не затронет настоящие системные приложения, будут удалены лишь поддельные, вредоносные версии)
В Купертино уже знают о проблеме и сообщают, что «ведется расследование».