Poco dopo la scoperta di XcodeGhost, i ricercatori di sicurezza di Palo Alto Networks hanno identificato un nuovo tipo di malware.
Soprannominato YiSpecter, è in grado di installarsi sia su dispositivi, iOS, jailbroken che non ed è il primo malware iOS che utilizzate le API private Apple per implementare funzionalità malevole. Qui sotto troverete tutto ciò di cui siamo a conoscenza di questo nuovo tipo di attacco, cosa Apple sa circa al nuovo malware e cosa potete fare per proteggere i vostri dispositivi da una possibile infezione da YSpecter.

Quando è stato scoperto?

Probabilmente nel Gennaio 2015, siamo venuti a conoscenza solamente ora perché sarà rimasto nell’ombra per più di 10 mesi. Su 57 venditori di antivirus solamente uno è stato in grado di rilevare il malware.

Come viene diffuso? 

YiSpecter viene diffuso tramite l’uso dei social network grazie alle pubblicità ed ai tentativi di phishing, inclusa anche l’installazione di app e messaggi promozionali.

Viene installato silenziosamente?

Grazie a dio no. Perché il malware è firmato con un profilo aziendale e l’utente deve accettare la sua installazione.

Chi ne può essere affetto?

YiSpecter per prima ha afflitto gli utenti in Cina e Taiwan.

Come faccio a sapere se il mio dispositivo iOS è infetto?

Su dispositivi iOS infetti con YiSpecter, jailbroken o meno, vi accorgerete di alcuni strani comportamenti. Per esempio, quando lanciate un app potreste vedere una pubblicità a schermo intero. E se utilizzate un tool per il file-browsing potreste notare alcune insolite “app di sistema” sul dispositivo infetto.

Cosa può fare? 

Una volta che il vostro dispositivo è stato infettato, YiSpecter può scaricare, installare e lanciare arbitrariamente app. Inoltre è in grado di rimpiazzare app esistenti con quella che scaricherà successivamente, cambiare Safari come browser di default, segnalibri e pagine aperte, e caricare informazioni sul dispositivo su server C2.

Posso manualmente eliminare il malware?

Anche se si elimina manualmente YiSpecter, ri-apparirà automaticamente.

Quali app sono affette?

Al momento della stesura di questo articolo, più di un centinaio per iPhone, iPod Touch e iPad disponibili in AppStore.

Come posso proteggermi?

Per prima cosa, aggiornate ad iOS 8.4 o superiore, in quanto iOS 8.4, iOS 9.0 e iOS 9.0.1 hanno risolto questo problema. Utenti con vecchie versioni di iOS che scaricano contenuti da fonti non autorizzate dovrebbero iniziare a preoccuparsi.
Valgono le solite avvertenze: non scaricate software da fondi non autorizzate al di fuori di AppStore e non caricate app sul vostro dispositivo. Evitate le offerte in-app che vi prometto dei pagamenti su installazioni speciali di app sul vostro telefono.
Ma più importante, se un app vi richiede il permesso per la sua installazione pensateci due volte prima di confermare.

Cosa sa Apple in merito ?

Ecco come ha commentato in merito a questo problema:

Questo problema affligge solo gli utenti con versioni obsolete di iOS e che hanno scaricato il malware da fonti non ufficiali. Abbiamo già risolto questo specifico problema con iOS 8.4 e abbiamo anche bloccato le app che distribuiscono questo malware.
Invitiamo gli utenti di installare la versione corrente di iOS per avere sempre alto il livello di sicurezza. Inoltre li invitiamo a scaricare App, da App Store.

Adesso la buona notizia:

Stando agli esperti di sicurezza, Thomas Reed, direttore di Mac Offerings di Malwarebytes, YiSpecter ha alcune funzioni uniche rispetto ai suoi predecessori ma “non è in grado di installarsi in modo invisibile”.
“Due aspetti sono interessanti da conoscere” ha riferito ai ragazzi di iDownloadBlog via mail. “Il primo è la difficolta di rimuovere il malware, raccomando un ripristino completo del telefono per avere una sicurezza pari al 100%”

“Il Secondo è la varietà in cui il malware si diffonde, inclusi avvisi che offrono riparazione o installazione di tool per risolvere problemi sul dispositivo”.

Continua dicendo che: “Questo attacco è complicato dal fatto che non ci sono anti-malware per la rimozione del software iOS, e non c’è modo di scansionare con un qualsiasi tipo di software la sandbox di iOS.”

- Disclamer - Questo articolo presenta le opinioni del suo autore indipendente o della fonte da cui è estratto e non di Italiamac. Può essere stato realizzato con l'assistenza della IA. Non è da considerarsi consulenza, consiglio d'acquisto o investimento, in quanto a puro titolo esemplificativo generico.

Pietro Messineo
Pietro Messineo
http://pietromessineo.com
Leaureato in Informatica presso l'Università di Palermo è sempre stato, fin da piccolo, appassionato al mondo tecnologico e soprattutto alla programmazione. Amante dei prodotti Apple, li conosce da cima a fondo, partendo dal software per finire all'hardware. Sviluppatore incallito con svariate app pubbliche in App Store, la più celebre: ZTL City con svariate migliaia di download e nella TOP 10 delle app più scaricate in categoria Navigazione.

ARTICOLI CORRELATIALTRO DALL'AUTORE

2 Commenti

  1. Bah, visto che i dispositivi non jailbroken non possono installare app dal di fuori dell’AppStore, non vedo come possano infettarsi.

  2. Ciao, io ho un problema con “MPlayer X”
    L’ho scaricato da un sito di film in streaming con il quale non ho mai avuto problemi.
    Non si trattava di un plugin realmente utile, ma di un malware o qualcosa di simile.

    Risultato? Navigare è diventato quasi impossibile con Safari e anche con Firefox (con Safari ha cambiato pagina iniziale, apre pubblicità a tutto spiano…)

    Ho guardato in giro per trovare una soluzione ma nulla di definitivo per ora.

    Ne sapete qualcosa e potete aiutarmi?

    Grazie :)

Comments are closed.