Złośliwe oprogramowanie na iPhone'ach bez jailbreaku

Badacze Palo Alto Technologies wykryli pierwsze w historii złośliwe oprogramowanie infekujące iPhone'y, które nie zostały poddane operacji jailbreak. Włamywacze do infekcji wykorzystują błędy bezpieczeństwa prywatnego API w iOS oraz fałszywe certyfikaty.

Po raz pierwszy w historii badacze Palo Alto Technologies znaleźli malware, które potrafi zarazić iPhone'y, które nie zostały poddane operacji jailbreak. Odkryte złośliwe oprogramowanie atakuje obecnie jedynie użytkowników w Chinach i na Tajwanie. Wektorem infekcji jest przekierowany ruch sieciowy, wirus SNS roznoszony w środowisku Windows, a także instalacja offline przy aktywnej promocji w sieciach społecznościowych. Wiadomo na pewno, że oprogramowanie działa już ponad 10 miesięcy, ale w chwili pisania raportu wykrywał je zaledwie jeden dostawca oprogramowania antywirusowego (Quihoo) wykorzystywanego przez portal VirusTotal. Do obejścia zabezpieczeń zastosowano fałszywy certyfikat.

Cztery składniki, korporacyjny certyfikat

System iOS nie pozwala na instalację oprogramowania w inny sposób, niż przez sklep z aplikacjami lub przez podpisanie cyfrowym certyfikatem w ramach umowy korporacyjnej. Włamywacze wykorzystali tę drugą opcję, podpisując kod fałszywymi certyfikatami Verisign oraz Symantec. Poprzez wykorzystanie błędów w interfejsie programistycznym API systemu iOS komponenty są kolejno pobierane oraz instalowane z serwera kontrolującego botnet. Trzy z tych modułów ukrywają swoje ikony, by nie były widoczne na SpringBoard – a to utrudnia usunięcie złośliwego oprogramowania. Ponadto komponenty te używają tych samych nazw i ikon, co właściwe aplikacje systemowe, co utrudnia usunięcie przez zaawansowanych użytkowników. Jest to pierwszy w historii przypadek przechwycenia rozpowszechnionego już oprogramowania, które przejmuje kontrolę nad iPhone'ami bez operacji jailbreak, przy zerowej interakcji ze strony użytkownika (automatycznie). W najnowszej wersji systemu iOS Apple odrobinę zmniejszyło ryzyko nieautoryzowanej instalacji złośliwego oprogramowania za pomocą kradzionych lub podrobionych certyfikatów, gdyż obecnie użytkownicy muszą ręcznie ustawić zaufanie dla danego profilu deweloperskiego.

Zobacz również:

  • iPhone z 2007 roku sprzedany na aukcji za rekordową kwotę
  • Apple przygotowuje zdalne aktualizacje sprzętu przed sprzedażą
  • IDC CIO Summit – potencjał drzemiący w algorytmach
Złośliwe oprogramowanie na iPhone'ach bez jailbreaku

Infekcja przez złośliwe oprogramowanie YiSpecter po obejrzeniu strony internetowej w przeglądarce Safari.

Co może YiSpecter

Na zainfekowanych telefonach YiSpecter może pobrać, zainstalować i uruchomić praktycznie dowolne oprogramowanie, może podmienić istniejące aplikacje na dowolny obcy kod, może przejąć wykonywanie oprogramowania, by wyświetlać reklamy, a także zmienić ustawienia Safari, takie jak wyszukiwarka, zakładki i otwierane strony. Użytkownicy zauważyli także automatyczną ponowną instalację malware'u, nawet jeśli został usunięty. Oprogramowanie to było dobrze chronione przez napastników - przez ostatni rok zaledwie 23 próbki tego konia trojańskiego były testowane przez serwis VirusTotal.com.

Fałszywy odtwarzacz pornografii

Pierwsze doniesienia o złośliwym oprogramowaniu, które infekuje iPhone'y pochodziło od dwóch dostawców rozwiązań bezpieczeństwa w Chinach – Qihoo 360 i Cheetah Mobile. Donieśli oni o przejmowaniu sesji komunikatora QQ przez robaka o nazwie Lingdun, by kierować rozmówców na stronę, która instalowała malware. Pierwsza wersja zawierała identyczny interfejs użytkownika co popularny chiński odtwarzacz QVOD, używany przeważnie do oglądania materiałów pornograficznych. Po zamknięciu stron i usług serwowanych za pomocą QVOD przez chińską policję, twórcy malware'u przedstawiali swoje dzieło jako alternatywę dla tego serwisu.

Złośliwe oprogramowanie na iPhone'ach bez jailbreaku

Usprawnienie zabezpieczeń w iOS9 - obecnie użytkownik musi zatwierdzić instalację aplikacji. W poprzedniej wersji systemu uruchamiana była bez dodatkowego pytania.

Włamywacze do infekcji wykorzystywali powszechne w Chinach zjawisko przekierowywania ruchu przez lokalnych dostawców za pomocą przechwycenia DNS (DNS hijacking). Metoda, która początkowo była stosowana do wyświetlania reklam, posłużyła do masowych infekcji. Jak donoszą badacze Palo Alto Networks, wiele telefonów zostało zarażonych wirusem YiSpecter jedynie dlatego, że obejrzeli dialog pop-up wyświetlany przez dobrze znane im strony, przeglądając je w połączeniu Wi-Fi.

Do infekcji posłużył również robak SNS działający w środowisku Windows, który przechwytywał token autoryzacji QQ. Unikał wykrycia, gdyż był podpisany fałszywym certyfikatem Verisign oraz Symantec. Wysyłane wiadomości zawierały odpowiednio spreparowany link, wiodący prosto do serwera, na którym wysyłane było złośliwe oprogramowanie dla Androida oraz iPhone'a – zależnie od systemu na smartfonie, który się z tą stroną łączył.

Dodatkowym miejscem dystrybucji malware'u była „szara” część internetu, w której publikowano nieoficjalne aplikacje dla iOS. Część z tych aplikacji była później instalowana na telefonach przez różnych sprzedawców. Aplikacja była promowana w różnych serwisach społecznościowych (Zhihu, Douban, Weiphone, CocoaChina, Baidu Zhidao oraz Mobile01), głównie jako alternatywa dla usuniętego odtwarzacza QVOD Player.

Śmieci trudno usunąć

YiSpecter jest o wiele trudniejszy do usunięcia, niż się na pozór wydaje. Oprogramowanie to ukrywa ikony z listy SpringBoard, a zatem zwykły użytkownik nie może go w pełni usunąć. Aby dodatkowo utrudnić usuwanie, twórcy przewidzieli ukrywanie składników wirusa, podszywając się pod różne aplikacje, takie jak Phone, Weather, Game Center, Passbook, Notes lub Cydia. Do usuwania malware'u niezbędna jest aplikacja, która umożliwia usuniecie także tego oprogramowania, którego nie ma na SpringBoard.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200