Onderzoekers hebben nieuwe iOS-malware ontdekt die zowel gejailbreakte als niet-gejailbreakte iPhones kan infecteren en mede door toedoen van internetproviders wordt verspreid. De malware wordt door Palo Alto Networks YiSpecter genoemd. Volgens het beveiligingsbedrijf verschilt het van andere iOS-malware, omdat het de eerste malware is die de private interfaces (APIs) in iOS gebruikt om kwaadaardige functionaliteiten toe te voegen.

De malware verspreidt zich op verschillende manieren, waaronder een sms-worm op Windows, gekaapt internetverkeer, promotie op Chinese sociale media en een offline app-installatie YiSpecter zou al meer dan 10 maanden actief zijn, maar door veruit meeste anti-virusbedrijven niet worden herkend. Dit komt mede omdat het Chinese anti-virusbedrijf de exemplaren die het heeft gevonden niet met andere anti-virusbedrijven wil delen, zo stelt Palo Alto Networks.

YiSpecter bestaat uit vier verschillende onderdelen die elk met een enterprise-certificaat zijn gesigneerd. Op deze manier kunnen ze ook op niet-gejailbreakte toestellen worden geïnstalleerd. Door het gebruik van de private APIs kunnen de onderdelen elkaar vanaf een command en controle-server installeren. In het geval een gebruiker de malware verwijderd wordt die weer opnieuw geïnstalleerd. Op besmette iPhones kan de malware willekeurige iOS-apps installeren, bestaande apps vervangen, advertenties tonen, informatie over het toestel versturen en in Safari de zoekmachine, bookmarks en geopende pagina's aanpassen.

Verspreiding

De malware zou sinds oktober 2014 actief zijn en doet zich voor als een videospeler voor het afspelen van pornovideo's. Eén van de manieren om zich te verspreiden is door het kapen van internetverkeer. Volgens Palo Alto Networks hebben lokale Chinese internetproviders de afgelopen jaren regelmatig het DNS- en internetverkeer van hun klanten gekaapt. Bijvoorbeeld voor het injecteren van advertenties. Vorig jaar werden bijvoorbeeld de downloads van Chinese internetgebruikers aangepast.

Providers die zagen dat hun klanten een APK-bestand probeerden te downloaden kregen een ander APK-bestand aangeboden. Voor de verspreiding van de YiSpecter-malware wordt ook het internetverkeer gekaapt. Zodra internetgebruikers bepaalde websites bezoeken krijgen ze een pop-up die vraagt of ze de videospeler voor het bekijken van "speciale video's" willen installeren. In werkelijkheid wordt de malware aangeboden. De meeste slachtoffers van YiSpecter bevinden zich in China en Taiwan.

Hoeveel toestellen er met de malware zijn besmet is onbekend, maar volgens Palo Alto Networks zijn infecties zeer eenvoudig te voorkomen. Gebruikers moeten de basisregels volgen: namelijk geen iOS-apps van onbetrouwbare bronnen downloaden, geen onbekende ontwikkelaars vertrouwen en alleen apps uit de officiële Apple App Store installeren.