查看: 23050|回复: 512

YiSpecter——隐匿于iOS色情视频应用下的木马

[复制链接]
  • TA的每日心情
    慵懒
    2024-12-2 09:11
  • 签到天数: 919 天

    [LV.10]以坛为家III

    发表于 2015-10-6 06:26:23 | 显示全部楼层 |阅读模式
    14440521943736.jpg
    距离XcodeGhost事件还不到一个月的时间,安全研究人员又发现了一款iOS恶意软件,这款软件针对的目标既包含越狱的手机也包含没有越狱的手机。

    上个月,研究人员在苹果的官方应用商店找到了超过4000款受感染应用,感染源头是开发者用来开发应用的一款软件Xcode存在问题。

    而现在,来自加州网络安全公司Palo Alto网络的研究人员们找到了一款感染了中国大陆和台湾iOS用户的恶意软件。

    YiSpecter的功能

    这款恶意软件被取名为YiSpecter,一旦感染了iOS设备,它就可以:

    安装其他不需要的应用;
    用其下载的应用替换正规的应用;
    强制应用显示不需要的、全屏的广告;
    更改Safari浏览器的书签和默认搜索引擎;
    把用户信息发送回服务器;
    在用户手动把它从设备上删除后自动重现。
    目前尚不清楚多少用户已经感染了YiSpecter,但根据研究人员的报告,首例感染未越狱设备的案例应该发生于2014年11月左右。

    “无论你的iPhone越狱与否,恶意软件都能被成功下载安装”,研究人员在博文中写道,“即使你手动删除了它,还是会自动重现。”
    YiSpecter通过滥用私有的API使它的四个经过企业证书签名的组件从C&C服务器上安装到越狱或未越狱的手机上。

    四款恶意组件中的三款能被用来隐藏它们在iOS SpringBoard上的图标,它们还会修改自己的应用名称和图标,伪装成系统应用来规避用户的检查。
    14440523844269.jpg
    YiSpecter的感染途径

    根据研究,YiSpecter已经感染iOS设备10个月了,首次传播时,它把自己伪装成能让用户观看免费色情内容的应用。这款应用宣称自己是快播的私密版本。
    14440522573023.jpg
    之后应用传播的手段有:

    从ISP劫持互联网流量;
    使用蠕虫病毒感染腾讯QQ;
    通过在线社区转播,在这些在线社区,大家安装第三方应用以获得应用开发者的推广费。
    14440522778693.jpg
    Palo Alto网络的安全研究人员已经将YiSpecter的最新信息报告给了苹果,而苹果称,他们“正在调查”此事件。

    如何删除YiSpecter?

    对于那些可能已经感染YiSpecter的用户,可以通过下面四步移除病毒:

    进入“设置” –> “通用”–> “描述文件”删除任何奇怪的、不可信的描述文件;
    删除任何名为“情涩播放器”、“快播私密版”或“快播0”;
    你可以使用任何的第三方iOS管理工具,如Windows平台下的iFunBox,对设备进行管理;
    检查安装的iOS应用,如Phone, Weather, Game Center, Passbook, Notes, 或者Cydia,然后删除它们。(这不会影响系统内置的程序,只会删除恶意软件)。
    回复

    使用道具 举报

  • TA的每日心情
    擦汗
    2019-10-17 06:41
  • 签到天数: 182 天

    [LV.7]常住居民III

    发表于 2015-10-6 13:38:52 | 显示全部楼层
    苹果又被捅了。。。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-10-24 10:52
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2015-10-7 03:19:35 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-7 15:03:59 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-8 05:53:59 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-8 12:09:09 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-8 17:52:27 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-8 22:06:21 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-8 22:21:07 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-9 06:48:41 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-19 06:38 , Processed in 0.022304 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部