YiSpecter, le malware qui concerne tous les terminaux iOS

Des chercheurs ont découvert un nouveau logiciel malveillant pour iOS. Baptisé YiSpecter, il présente deux caractéristiques novatrices : il détourne des API privée à des fins malicieuses, et affecte tous les terminaux mobiles de la marque Apple, même ceux qui n’ont pas été jailbreakés et sur lesquels les verrous logiciels d’iOS sont intacts.

Dans un billet de blog, les équipes de l’unité 42 de Palo Alto Networks expliquent qu’YiSpecter a principalement été observé en Chine et à Taïwan. Il semble être actif depuis 10 mois.

YiSpecter est notamment diffusé par détournement de trafic Web : des internautes se retrouvent confrontés à un message les invitant à installer une application alors qu’ils parcourent un site Web légitime. Et de ce faire piéger. Car YiSpecter peut passer inaperçu parce qu’il s’appuie sur quatre composants tous signés par des certificats d’installation d’applications d’entreprise. Trois d’entre eux cachent leurs icônes de l’écran d’accueil, empêchant l’utilisateur de les effacer. Ce logiciel malveillant peut télécharger, installer et lancer des applications iOS, mais également en remplacer par d’autres, ou encore interférer avec l’exécution d’une application pour afficher des publicités.

Ryan Olson, directeur du renseignement sur les menaces au sein de l’unité 42, souligne le rôle clé des certificats dans ce cas : « ces applications ont été signées avec des certificats d’entreprise. Cela signifie qu’elles ne viennent pas de l’App Store officiel, et qu’elles n’ont pas besoin d’être installées par USB ». Dès lors, les victimes « ont dû cliquer sur un lien et accepter l’installation de l’application signée ». Une demande de confirmation validée plus loin, et hop ! L’infection est faite. Après cela, « l’application fonctionne normalement à chaque fois qu’ils la lancent ».

La bonne nouvelle est qu’Apple a modifié le comportement d’iOS 9 vis-à-vis des applications signées avec un certificat d’entreprise, réduisant la capacité de nuisance de telles attaques. Le 21 septembre dernier, déjà 50 % des terminaux iOS actifs avaient été mis à jour avec la version 9. Mais les correctifs bloquant le fonctionnement d’YiSpecter sont également présents dans iOS 8.4.

Reste qu’YiSpecter utilise en outre des API privées du système d’exploitation mobile d’Apple pour conduire ses activités malicieuses. Une pratique que réprouve la firme à la pomme parce qu’elle permet, justement, de conduire des opérations qui sortent des lignes tracées par Apple.

Mais voilà, selon Olson, « souvent, les API privées assurent le travail après l’appel de l’API publique ; les vérifications de sécurité sont assurées par l’API publique, laissant l’API privée vulnérable ». Apple n’autorise pas, dans son App Store, des applications appelant les API privées d’iOS, et réussit plutôt bien son travail de filtrage, estime Olson.

Avec nos confrères de SearchSecurity.com (groupe TechTarget).