Prvi malver za iOS koji inficira i nejailbreakovane uređaje

Mobilni telefoni, 06.10.2015, 00:30 AM

Prvi malver za iOS koji inficira i nejailbreakovane uređaje

Istraživači firme Palo Alto Networks analizirali su malver koji inficira iOS uređaje i zatim ubacuje reklame u aplikacije i browser tokom surfovanja internetom. Malver YiSpecter je, prema rečima istraživača, prvi malver koji napada i inficira i jailbreakovane i nejailbreakovane uređaje.

Malver za sada inficira uglavnom uređaje kineskih i tajvanskih korisnika i to na različite načine.

Malver može da inficira uređaje uz pomoć crva Lingdun. Ovaj crv cilja širok spektar različitih tipova uređaja i to preko QQ društvene mreže i njenog interfejsa za deljenje fajlova. Crv postavlja maliciozne HTML fajlove sa pornografskim nazivima i deli ih sa korisnicima na mreži. Kada korisnik pristupi ovim fajlovima, stranica detektuje da li korisnik pristupa sa iOS uređaja i ako je tako, isporučuje verziju adwarea YiSpectre.

Drugi način infekcije je putem DNS hijackinga. To se dešava kada napadači inficiraju servere lokalnih internet provajdera, što zatim koriste za prikazivanje pop up prozora za iOS aplikaciju koja dolazi upakovana sa YiSPectre. Preuzimanje aplikacije i njeno instaliranje dovodi do infekcije. Ove pop up rekllame se pojavljuju jedino kada se pretražuje Internet sa kućne WiFi mreže. Jedini način da ove reklame nestanu je da se uputi žalba internet provajderu.

Treći metod infekcije je offline instalacija aplikacije. Napadači koriste malicioznu aplikaciju koja je predstavljena kao verzija 5 QVOD Playera koja se promoviše na forumima za korisnike mobilnih uređaja. QVOD je mobilni video plejer za pornografski sadržaj koji su kineske vlasti zabranile 2014. godine kada je policija upala u kancelarije programera. Uprkos tome, ovaj plejer je i dalje veoma popularan u Kini.

Osim toga, istraživači Palo Alto Networks tvrde da neki prodavci telefona i dobavljači takođe instalirati malver za novac.

YiSpectre može da inficira jailbreakovane i nejailbreakovane uređaje uz pomoć četiri komponente, koje su potpisane sertifikatima preduzeća. Ove komponente omogućavaju malveru da izbegne različite Appleove bezbednosne protokole.

Kada je faza infekcije završena, malver će ukloniti tri od četiri ikone koje su dodale ove komponente a poslednju ikonu će sakriti kao jednu od Appleovih sistemskih aplikacija.

Kada se nađe na telefonu, YiSpectre počinje da preuzima, instalira i pokreće iOS aplikacije zamenujući legitimne aplikacije, i preotimajući postojeće aplikacije, prikazujući reklame svaki put kada se one pokrenu.

Malver takođe može da menja Safarijev podrazumevani pretraživač, da menja njegove oznake, menja trenutno otvorene stranice, i izveštava svoj komandno-kontrolni server o aktivnostima korisnika i šalje informacije o telefonu.

Prema rečima istraživača, malver je prvi put zapažen u novembru prošle godine. Trenutno ga detektuje samo jedan od antiviruaa VirusTotala, i to kineska antivirusna kompanija Qihoo koja je o ovom malveru izvestila još u februaru ove godine.

Tri od četiri komponente koje YiSpectre koristi za infekciju uređaja su potpisane sertifikatima YingMob Interactive, kineske platforme za mobilno oglašavanje.

Palo Alto je obavestio Apple o ovoj pretnji pa je kompanija opozvala sertifikate koji su korišćeni za instalaciju četiri komponente YiSpectre. Palo Alto je korisnicima ponudio rešenje u četiri koraka za uklanjanje malvera sa inficiranih telefona.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Nakon medijskih izveštaja da čitač otiska prsta u Samsung Galaxy S10 telefonima otključava uređaj i kad skenira neregistrovane otiske prstiju pre... Dalje

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Par iz Velike Britanije primetio je čudnu grešku na svom Samsung Galaxy S10 koja omogućava da se zaobiđe čitač otiska prsta kako bi se otključ... Dalje

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Uprkos Googleovim naporima da njegova prodavnica Android aplikacija bude bez malvera, maliciozne aplikacije i dalje nekako uspevaju da prođu proces p... Dalje

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Skoro svaka aplikacija sadrži bezbednosne propuste, od kojih će neki možda biti otkriveni već danas, ali drugi će ostati nevidljivi dok ih neko n... Dalje

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Googleova Grupa za analizu pretnji (TAG) otkrila je novi 0-day bag u Androidu koji se uveliko koristi za napade na ranjive pametne telefone - Google P... Dalje