YiSpecter, la nouvelle menace venue de Chine pour iOS

Après XcodeGhost, voilà une nouvelle menace concernant iOS qui fait son apparition en Asie, en Chien et à Taïwan pour être précis. YiSpecter, du petit nom dont l’a affublé PaloAlto Networks, est une jolie cochonnerie : le logiciel malveillant peut se camoufler sous l’apparence d’une app légitime, bénéficier de la complicité d’un vers sous Windows pour s’installer sur iOS, voire “pirater” les flux de données de certains ISP, ou, enfin, s’installer sous l’apparence d’une promotion en ligne.

Il se compose de 4 composants différents, signés avec des certificats d’entreprise (qui permettent le déploiement des logiciels maison via les outils MDM d’Apple, et qui constituent un vecteur d’attaque privilégié), qui s’installent depuis un serveur distant (C&CS). Au choix, ces composants peuvent demeurer invisible sur le springBoard, ou prendre l’apparence d’une app légitime.

Une fois en place, le malware dispose de capacités de nuisance étendues : il peut installer et lancer des applications, remplacer des applications installées, injecter ses propres pubs dans des logiciels adware, changer les signets de Safari, sa page recherche, sans oublier la possib ilité d’envoyer au serveur distant toutes les infos possibles sur la machine infectée.

YiSpecter qui, insistons, n’a été vu qu’en Chine et à Taïwan, existerait depuis 10 mois, serait indétectable de la majorité des logiciels de sécurité actuel (seul 1 sur 57 le détecte), reviendrait automatiquement après effacement par l’utilisateur et pourrait donc infecter iPhone déplombés ou pas.