Un Adware fa uso di certificati Apple

YiSpecter è stato appositamente sviluppato per ottenere la visualizzazione “forzata” di contenuti pubblicitari sui dispositivi mobili provvisti di sistema operativo iOS; la sua diffusione è per il momento limitata al territorio di Cina e Taiwan, comunica Help Net Security, riferendosi all’indagine recentemente condotta da Palo Alto Networks. Come ha dimostrato l’analisi svolta dagli esperti, questo malware modulare è in grado di camuffarsi abilmente, ed utilizza in maniera indebita tre certificati rilasciati da Apple nel quadro del programma relativo alle soluzioni corporate; questo significa che, in pratica, YiSpecter costituisce un pericolo per qualsiasi dispositivo, sia “bloccato”, sia sottoposto, in precedenza, a procedure di jailbreaking.

Secondo i ricercatori, YiSpecter “si diffonde facendo ricorso a strumenti del tutto inconsueti, quali l’hijacking del traffico a livello di Internet provider nazionali, oppure attraverso gli SNS (servizi di social networking), mediante un apposito worm Windows; altri metodi di propagazione sono poi rappresentati dall’installazione offline di applicazioni, e dalle pubblicità dirette destinate ad alcune community della Rete”. L’Adware maligno qui esaminato è presente sul Web, “in the wild”, già da 10 mesi, ma, a giudicare dai risultati emersi dalle verifiche effettuate su VirusTotal, YiSpecter è stato sinora rilevato con notevole difficoltà.

Secondo Palo Alto Networks, il software nocivo in causa viene abitualmente distribuito sotto forma di applicazione legittima per la visualizzazione di filmati video. Una volta lanciato, esso provvede a scaricare il componente malevolo principale, denominato NoIcon; quest’ultimo, a sua volta, effettua il download e la successiva installazione di ADPage e NoIconUpdate. NoIcon è in grado di raccogliere i principali dati riguardanti il dispositivo mobile infetto, e di inviare gli stessi al server C&C allestito dai malintenzionati; tale modulo, inoltre, ha la capacità di eseguire comandi impartiti da remoto, modificare le impostazioni di default di Safari, disinstallare applicazioni legittime o intercettare la loro routine di avvio per ottenere, tramite ADPage, la visualizzazione di determinate pubblicità da parte dell’utente-vittima. NoIconUpdate, come suggerisce il nome stesso, è preposto a mantenere YiSpecter perfettamente aggiornato, e quindi pienamente efficiente a livello di funzionalità possedute.

L’installazione del malware sui dispositivi non sottoposti a jailbreaking viene garantita dalla presenza di apposite firme digitali, utilizzate per eludere i rigorosi controlli implementati da Apple. I ricercatori hanno rilevato che, nella prima fase dell’infezione, YiSpecter si avvale di certificati legittimi, rilasciati agli sviluppatori corporate Changzhou Wangyi Information Technology Co., Ltd. e Baiwochuangxiang Technology Co., Ltd. I tre successivi componenti, NoIcon, ADPage e NoIconUpdate, utilizzano, da parte loro, un certificato relativo alla Beijing Yingmob Interaction Technology Co., Ltd. Questo permette ad YiSpecter, allo stesso modo, di utilizzare le interfacce API private di iOS per condurre operazioni in grado di compromettere la sicurezza del dispositivo.

YiSpecter non è, di fatto, il primo malware capace di infettare i dispositivi iOS non sottoposti a procedure di jailbreaking. Tale abilità è in effetti posseduta anche dalle applicazioni nocive create attraverso l’utilizzo di XcodeGhost, così come dallo spyware XAgent e dal malware WireLurker, già neutralizzato. Palo Alto Networks non ha mancato di far notare come in iOS 9, rilasciato di recente, la policy relativa ai certificati corporate sia stata sensibilmente perfezionata: prima di installare applicazioni sviluppate internamente, l’utente può in effetti creare, in modalità manuale, il profilo corrispondente e, tramite le impostazioni, collocare quest’ultimo tra le app attendibili.

Una volta effettuata l’installazione, i componenti NoIcon, ADPage e NoIconUpdate non compaiono sulla schermata principale del dispositivo iOS (nella SpringBoard), visto che essi utilizzano icone nascoste; in tal modo, non risulta possibile individuare e disinstallare immediatamente gli stessi. Gli autori di YiSpecter hanno inoltre previsto un livello di camuffamento supplementare, nel caso in cui l’utente risulti sufficientemente esperto, ed utilizzi uno strumento speciale per la gestione dell’iPhone o dell’iPad: i tre moduli chiave, nella circostanza, vengono visualizzati con il nome ed il relativo logo di note applicazioni di sistema iOS. Così, durante i test condotti, NoIcon si è presentato in veste di Passbook, mentre ADPage e NoIcon Update si sono spacciati, rispettivamente, per Cydia e Game Center.

Palo Alto Networks ha segnalato la nuova minaccia ad Apple; per il momento, tuttavia, non si è registrata nessuna reazione da parte della casa di Cupertino.

Fonte: Help Net Security

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *