YiSpecter——隐匿于iOS色情视频应用下的木马
距离XcodeGhost事件还不到一个月的时间,安全研究人员又发现了一款iOS恶意软件,这款软件针对的目标既包含越狱的手机也包含没有越狱的手机。
上个月,研究人员在苹果的官方应用商店找到了超过4000款受感染应用,感染源头是开发者用来开发应用的一款软件Xcode存在问题。
而现在,来自加州网络安全公司Palo Alto网络的研究人员们找到了一款感染了中国大陆和台湾iOS用户的恶意软件。
YiSpecter的功能
这款恶意软件被取名为YiSpecter,一旦感染了iOS设备,它就可以:
安装其他不需要的应用;
用其下载的应用替换正规的应用;
强制应用显示不需要的、全屏的广告;
更改Safari浏览器的书签和默认搜索引擎;
把用户信息发送回服务器;
在用户手动把它从设备上删除后自动重现。
目前尚不清楚多少用户已经感染了YiSpecter,但根据研究人员的报告,首例感染未越狱设备的案例应该发生于2014年11月左右。
“无论你的iPhone越狱与否,恶意软件都能被成功下载安装”,研究人员在博文中写道,“即使你手动删除了它,还是会自动重现。”
YiSpecter通过滥用私有的API使它的四个经过企业证书签名的组件从C&C服务器上安装到越狱或未越狱的手机上。
四款恶意组件中的三款能被用来隐藏它们在iOS SpringBoard上的图标,它们还会修改自己的应用名称和图标,伪装成系统应用来规避用户的检查。
YiSpecter的感染途径
根据研究,YiSpecter已经感染iOS设备10个月了,首次传播时,它把自己伪装成能让用户观看免费色情内容的应用。这款应用宣称自己是快播的私密版本。
之后应用传播的手段有:
从ISP劫持互联网流量;
使用蠕虫病毒感染腾讯QQ;
通过在线社区转播,在这些在线社区,大家安装第三方应用以获得应用开发者的推广费。
Palo Alto网络的安全研究人员已经将YiSpecter的最新信息报告给了苹果,而苹果称,他们“正在调查”此事件。
如何删除YiSpecter?
对于那些可能已经感染YiSpecter的用户,可以通过下面四步移除病毒:
进入“设置” –> “通用”–> “描述文件”删除任何奇怪的、不可信的描述文件;
删除任何名为“情涩播放器”、“快播私密版”或“快播0”;
你可以使用任何的第三方iOS管理工具,如Windows平台下的iFunBox,对设备进行管理;
检查安装的iOS应用,如Phone, Weather, Game Center, Passbook, Notes, 或者Cydia,然后删除它们。(这不会影响系统内置的程序,只会删除恶意软件)。 苹果又被捅了。。。。:'( 支持,看起来不错呢! 感谢楼主的分享~ 还是不错的哦,顶了 支持,看起来不错呢! 支持,看起来不错呢! 支持,看起来不错呢! 还是不错的哦,顶了
页:
[1]