Prvi malver za iOS koji inficira i nejailbreakovane uređaje

Mobilni telefoni, 06.10.2015, 00:30 AM

Prvi malver za iOS koji inficira i nejailbreakovane uređaje

Istraživači firme Palo Alto Networks analizirali su malver koji inficira iOS uređaje i zatim ubacuje reklame u aplikacije i browser tokom surfovanja internetom. Malver YiSpecter je, prema rečima istraživača, prvi malver koji napada i inficira i jailbreakovane i nejailbreakovane uređaje.

Malver za sada inficira uglavnom uređaje kineskih i tajvanskih korisnika i to na različite načine.

Malver može da inficira uređaje uz pomoć crva Lingdun. Ovaj crv cilja širok spektar različitih tipova uređaja i to preko QQ društvene mreže i njenog interfejsa za deljenje fajlova. Crv postavlja maliciozne HTML fajlove sa pornografskim nazivima i deli ih sa korisnicima na mreži. Kada korisnik pristupi ovim fajlovima, stranica detektuje da li korisnik pristupa sa iOS uređaja i ako je tako, isporučuje verziju adwarea YiSpectre.

Drugi način infekcije je putem DNS hijackinga. To se dešava kada napadači inficiraju servere lokalnih internet provajdera, što zatim koriste za prikazivanje pop up prozora za iOS aplikaciju koja dolazi upakovana sa YiSPectre. Preuzimanje aplikacije i njeno instaliranje dovodi do infekcije. Ove pop up rekllame se pojavljuju jedino kada se pretražuje Internet sa kućne WiFi mreže. Jedini način da ove reklame nestanu je da se uputi žalba internet provajderu.

Treći metod infekcije je offline instalacija aplikacije. Napadači koriste malicioznu aplikaciju koja je predstavljena kao verzija 5 QVOD Playera koja se promoviše na forumima za korisnike mobilnih uređaja. QVOD je mobilni video plejer za pornografski sadržaj koji su kineske vlasti zabranile 2014. godine kada je policija upala u kancelarije programera. Uprkos tome, ovaj plejer je i dalje veoma popularan u Kini.

Osim toga, istraživači Palo Alto Networks tvrde da neki prodavci telefona i dobavljači takođe instalirati malver za novac.

YiSpectre može da inficira jailbreakovane i nejailbreakovane uređaje uz pomoć četiri komponente, koje su potpisane sertifikatima preduzeća. Ove komponente omogućavaju malveru da izbegne različite Appleove bezbednosne protokole.

Kada je faza infekcije završena, malver će ukloniti tri od četiri ikone koje su dodale ove komponente a poslednju ikonu će sakriti kao jednu od Appleovih sistemskih aplikacija.

Kada se nađe na telefonu, YiSpectre počinje da preuzima, instalira i pokreće iOS aplikacije zamenujući legitimne aplikacije, i preotimajući postojeće aplikacije, prikazujući reklame svaki put kada se one pokrenu.

Malver takođe može da menja Safarijev podrazumevani pretraživač, da menja njegove oznake, menja trenutno otvorene stranice, i izveštava svoj komandno-kontrolni server o aktivnostima korisnika i šalje informacije o telefonu.

Prema rečima istraživača, malver je prvi put zapažen u novembru prošle godine. Trenutno ga detektuje samo jedan od antiviruaa VirusTotala, i to kineska antivirusna kompanija Qihoo koja je o ovom malveru izvestila još u februaru ove godine.

Tri od četiri komponente koje YiSpectre koristi za infekciju uređaja su potpisane sertifikatima YingMob Interactive, kineske platforme za mobilno oglašavanje.

Palo Alto je obavestio Apple o ovoj pretnji pa je kompanija opozvala sertifikate koji su korišćeni za instalaciju četiri komponente YiSpectre. Palo Alto je korisnicima ponudio rešenje u četiri koraka za uklanjanje malvera sa inficiranih telefona.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Ovih dana je lako doći do aplikacija za praćenje za mobilne telefone. Ne morate ih mnogo tražiti, ima ih i u Googleovoj prodavnici Android aplikaci... Dalje

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Istraživači kompanije Symantec pokazali su nekoliko zanimljivih scenarija napada na aplikacije WhatsApp i Telegram za Android. Napad nazvan "Media F... Dalje

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa ure... Dalje

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

“Tekstualne bombe” su već duže vreme problem na iPhone uređajima, ali ovaj put je to ozbiljno, jer se može popraviti samo potpunim br... Dalje

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lukas Stefanko, iz kompanije ESET, otkrio je u Google Play prodavnici lažnu aplikaciju pod nazivom ES File Explorer. Aplikacija nije nudila korisnici... Dalje