News

Un Adware fa uso di certificati Apple

YiSpecter è stato appositamente sviluppato per ottenere la visualizzazione “forzata” di contenuti pubblicitari sui dispositivi mobili provvisti di sistema operativo iOS; la sua diffusione è per il momento limitata al territorio di Cina e Taiwan, comunica Help Net Security, riferendosi all’indagine recentemente condotta da Palo Alto Networks. Come ha dimostrato l’analisi svolta dagli esperti, questo malware modulare è in grado di camuffarsi abilmente, ed utilizza in maniera indebita tre certificati rilasciati da Apple nel quadro del programma relativo alle soluzioni corporate; questo significa che, in pratica, YiSpecter costituisce un pericolo per qualsiasi dispositivo, sia “bloccato”, sia sottoposto, in precedenza, a procedure di jailbreaking.

Secondo i ricercatori, YiSpecter “si diffonde facendo ricorso a strumenti del tutto inconsueti, quali l’hijacking del traffico a livello di Internet provider nazionali, oppure attraverso gli SNS (servizi di social networking), mediante un apposito worm Windows; altri metodi di propagazione sono poi rappresentati dall’installazione offline di applicazioni, e dalle pubblicità dirette destinate ad alcune community della Rete”. L’Adware maligno qui esaminato è presente sul Web, “in the wild”, già da 10 mesi, ma, a giudicare dai risultati emersi dalle verifiche effettuate su VirusTotal, YiSpecter è stato sinora rilevato con notevole difficoltà.

Secondo Palo Alto Networks, il software nocivo in causa viene abitualmente distribuito sotto forma di applicazione legittima per la visualizzazione di filmati video. Una volta lanciato, esso provvede a scaricare il componente malevolo principale, denominato NoIcon; quest’ultimo, a sua volta, effettua il download e la successiva installazione di ADPage e NoIconUpdate. NoIcon è in grado di raccogliere i principali dati riguardanti il dispositivo mobile infetto, e di inviare gli stessi al server C&C allestito dai malintenzionati; tale modulo, inoltre, ha la capacità di eseguire comandi impartiti da remoto, modificare le impostazioni di default di Safari, disinstallare applicazioni legittime o intercettare la loro routine di avvio per ottenere, tramite ADPage, la visualizzazione di determinate pubblicità da parte dell’utente-vittima. NoIconUpdate, come suggerisce il nome stesso, è preposto a mantenere YiSpecter perfettamente aggiornato, e quindi pienamente efficiente a livello di funzionalità possedute.

L’installazione del malware sui dispositivi non sottoposti a jailbreaking viene garantita dalla presenza di apposite firme digitali, utilizzate per eludere i rigorosi controlli implementati da Apple. I ricercatori hanno rilevato che, nella prima fase dell’infezione, YiSpecter si avvale di certificati legittimi, rilasciati agli sviluppatori corporate Changzhou Wangyi Information Technology Co., Ltd. e Baiwochuangxiang Technology Co., Ltd. I tre successivi componenti, NoIcon, ADPage e NoIconUpdate, utilizzano, da parte loro, un certificato relativo alla Beijing Yingmob Interaction Technology Co., Ltd. Questo permette ad YiSpecter, allo stesso modo, di utilizzare le interfacce API private di iOS per condurre operazioni in grado di compromettere la sicurezza del dispositivo.

YiSpecter non è, di fatto, il primo malware capace di infettare i dispositivi iOS non sottoposti a procedure di jailbreaking. Tale abilità è in effetti posseduta anche dalle applicazioni nocive create attraverso l’utilizzo di XcodeGhost, così come dallo spyware XAgent e dal malware WireLurker, già neutralizzato. Palo Alto Networks non ha mancato di far notare come in iOS 9, rilasciato di recente, la policy relativa ai certificati corporate sia stata sensibilmente perfezionata: prima di installare applicazioni sviluppate internamente, l’utente può in effetti creare, in modalità manuale, il profilo corrispondente e, tramite le impostazioni, collocare quest’ultimo tra le app attendibili.

Una volta effettuata l’installazione, i componenti NoIcon, ADPage e NoIconUpdate non compaiono sulla schermata principale del dispositivo iOS (nella SpringBoard), visto che essi utilizzano icone nascoste; in tal modo, non risulta possibile individuare e disinstallare immediatamente gli stessi. Gli autori di YiSpecter hanno inoltre previsto un livello di camuffamento supplementare, nel caso in cui l’utente risulti sufficientemente esperto, ed utilizzi uno strumento speciale per la gestione dell’iPhone o dell’iPad: i tre moduli chiave, nella circostanza, vengono visualizzati con il nome ed il relativo logo di note applicazioni di sistema iOS. Così, durante i test condotti, NoIcon si è presentato in veste di Passbook, mentre ADPage e NoIcon Update si sono spacciati, rispettivamente, per Cydia e Game Center.

Palo Alto Networks ha segnalato la nuova minaccia ad Apple; per il momento, tuttavia, non si è registrata nessuna reazione da parte della casa di Cupertino.

Fonte: Help Net Security

Un Adware fa uso di certificati Apple

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox