YiSpecter : malware iOS qui attaque des appareils non jailbreakés

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités YiSpecter : malware iOS qui attaque des appareils non jailbreakés

Publié le 05 octobre 2015 à 17:40 par Jérôme G.

Lire sur mobile

Il s'agirait du premier malware iOS qui attaque des appareils non jailbreakés d'Apple en détournant des API privées. Son nom est YiSpecter.

Grâce à une version vérolée de Xcode IDE que des développeurs chinois ont utilisé pour leurs applications, le malware XcodeGhost a pu pénétrer l'antre de l'App Store d'Apple et ainsi menacer des millions d'utilisateurs. YiSpecter n'est pas parvenu à un tel exploit mais Palo Alto Networks publie un rapport alarmant à son sujet.

YiSpecter est présenté comme le premier malware iOS qui attaque à la fois des terminaux iOS jailbreakés et non jailbrakés, et détourne des API privées dans le système d'exploitation mobile (non documentées par Apple) pour mettre en œuvre des fonctionnalités malveillantes.

Dans la nature depuis plus de dix mois, ce spécimen a surtout infecté des appareils en Chine et à Taïwan. Pour se répandre et tromper son monde, YiSpecter s'appuie une nouvelle fois sur des certificats d'entreprise. La distribution peut se faire en détournant le trafic de fournisseurs d'accès à Internet, un ver informatique sous Windows ou encore l'installation d'une application en mode hors ligne.

YiSpecter semble avoir débuté sa propagation en novembre 2014 en se faisant passer pour la version dite privée ou 5.0 d'une application QVOD qui était devenue populaire en Chine pour le partage de vidéos pornographiques.

Après infection, YiSpecter peut notamment remplacer des applications existantes par d'autres qu'il télécharge, faire afficher des publicités, modifier les paramètres du navigateur Safari. Avec une tentative de suppression manuelle du malware, celui-ci réapparaît automatiquement. Palo Alto Networks décrit toutefois la bonne marche à suivre.

Pour Apple, le bon conseil demeure de ne télécharger du contenu que depuis l'App Store et des sources sûres. Qui plus est, iOS 9 est immunisé contre une attaque de YiSpecter.

Du cas de YiSpecter, il ressort que les terminaux iOS jailbreakés ne sont pas les seuls à être exposés à des menaces. Il est inquiétant de constater que des API privées dans iOS peuvent être détournées à des fins malveillantes. Par ailleurs, il y a un problème au niveau de la diffusion avec des certificats d'entreprise et un souci de sécurité venu de Chine.