Специалисты компании Palo Alto Networks сообщают, что обнаружили новую малварь, ориентированную на пользователей iOS. Вредонос, распространяющийся преимущественно на территории Китая и Тайваня, получил название YiSpecter. Отличительной чертой вредоносной программы является то, что она с легкостью поражает как джейлбрейкнутые устройства, так и залоченные.

Масштабы заражения до сих пор неизвестны, но, скорее всего, дело плохо. По данным экспертов, впервые YiSpecter был замечен еще в ноябре 2014 года, но тогда он распространялся среди аппаратов без джейлбрейка. С тех пор малварь претерпела определенные изменения.

YiSpecter2-500x495
YiSpecter не обнаруживается практически никакими антивирусными программами

Впервые YiSpecter обнаружили, когда он выдавал себя за порно-плеер. Вредонос маскировался под приватную версию некогда популярного на Востоке приложения QVOD, разработанного Kuaibo для шеринга порно-роликов. Кроме того, в арсенале YiSpecter числятся такие методы распространения, как перехват трафика интернет провайдеров, червь для Windows, который сначала атаковал мессенджер Tencent QQ, и даже распространение через онлайн-сообщества, где пользователи устанавливают приложения в обмен на промо-вознаграждения от разработчиков.

YiSpecter5-500x251
Приложение YiSpecter выложено на андеграундном сайте приложений

YiSpecter содержит четыре компонента, которые подписаны энтерпрайз-сертификатами. Это, а также использование приватных API и фреймворка MobileInstallation, позволяют вредоносу использовать различные трюки для сокрытия своего присутствия в системе. К примеру, YiSpecter может использовать то же имя и логотип, что и легитимное системное приложение, или прятать свои иконки от SpringBoard, чтобы пользователь не сумел найти их и удалить.

«На зараженном iOS-устройстве YiSpecter может: самостоятельно скачивать, устанавливать и запускать различные приложения, заменять существующие приложения фальшивыми, взламывать другие приложения, с целью отображения полноэкранной рекламы, изменять настройки поиска по умолчанию в Safari, вносить изменения в открытые в Safari страницы и закладки, а также связываться с C&C серверами и передавать им всю информацию о зараженном устройстве», — сообщают эксперты Palo Alto Networks.

YiSpecter8-500x440
Тайваньские пользователи жалуются, что приложение возвращается после удаления

Удалить YiSpecter не так просто. Если пользователь применит обычное удаление, малварь легко восстановит себя в системе. Поэтому специалисты Palo Alto Networks составили следующую инструкцию:

  • Зайти в Settings –> General –> Profiles и удалить все неизвестные и недоверенные профили
  • Удалить любые установленные приложения, содержащие в названии情涩播放器, 快播私密版 или 快播0
  • Воспользоваться сторонними инструментами для iOS менеджемента, к примеру, iFunBox, для подключения iPhone или iPad
  • Проверить установленные iOS-приложения, такие как Phone, Weather, Game Center, Passbook, Notes и Cydia и удалить их (это не затронет настоящие системные приложения, будут удалены лишь поддельные, вредоносные версии)

В Купертино уже знают о проблеме и сообщают, что «ведется расследование».

Оставить мнение