YiSpecter——隐匿于iOS色情视频应用下的木马

浮尘

距离XcodeGhost事件还不到一个月的时间，安全研究人员又发现了一款iOS恶意软件，这款软件针对的目标既包含越狱的手机也包含没有越狱的手机。

上个月，研究人员在苹果的官方应用商店找到了超过4000款受感染应用，感染源头是开发者用来开发应用的一款软件Xcode存在问题。

而现在，来自加州网络安全公司Palo Alto网络的研究人员们找到了一款感染了中国大陆和台湾iOS用户的恶意软件。

YiSpecter的功能

这款恶意软件被取名为YiSpecter，一旦感染了iOS设备，它就可以：

安装其他不需要的应用；
用其下载的应用替换正规的应用；
强制应用显示不需要的、全屏的广告；
更改Safari浏览器的书签和默认搜索引擎；
把用户信息发送回服务器；
在用户手动把它从设备上删除后自动重现。
目前尚不清楚多少用户已经感染了YiSpecter，但根据研究人员的报告，首例感染未越狱设备的案例应该发生于2014年11月左右。

“无论你的iPhone越狱与否，恶意软件都能被成功下载安装”，研究人员在博文中写道，“即使你手动删除了它，还是会自动重现。”
YiSpecter通过滥用私有的API使它的四个经过企业证书签名的组件从C&C服务器上安装到越狱或未越狱的手机上。

四款恶意组件中的三款能被用来隐藏它们在iOS SpringBoard上的图标，它们还会修改自己的应用名称和图标，伪装成系统应用来规避用户的检查。

YiSpecter的感染途径

根据研究，YiSpecter已经感染iOS设备10个月了，首次传播时，它把自己伪装成能让用户观看免费色情内容的应用。这款应用宣称自己是快播的私密版本。

之后应用传播的手段有：

从ISP劫持互联网流量；
使用蠕虫病毒感染腾讯QQ；
通过在线社区转播，在这些在线社区，大家安装第三方应用以获得应用开发者的推广费。

Palo Alto网络的安全研究人员已经将YiSpecter的最新信息报告给了苹果，而苹果称，他们“正在调查”此事件。

如何删除YiSpecter？

对于那些可能已经感染YiSpecter的用户，可以通过下面四步移除病毒：

进入“设置” –> “通用”–> “描述文件”删除任何奇怪的、不可信的描述文件；
删除任何名为“情涩播放器”、“快播私密版”或“快播0”；
你可以使用任何的第三方iOS管理工具，如Windows平台下的iFunBox，对设备进行管理；
检查安装的iOS应用，如Phone, Weather, Game Center, Passbook, Notes, 或者Cydia，然后删除它们。(这不会影响系统内置的程序，只会删除恶意软件)。

小圈圈

苹果又被捅了。。。。

菜鸟小羽

支持，看起来不错呢！

云游者

a136

感谢楼主的分享~

ruguoruo

还是不错的哦，顶了

08-wh

支持，看起来不错呢！

asion

支持，看起来不错呢！

a136

支持，看起来不错呢！

a136

还是不错的哦，顶了