Het kat-en-muisspel achter YiSpector, de slimste iOS-malware tot nu toe

Door: Raymon Mens - 3 reacties

Ben je een Europeaan die zijn apps alleen uit de officiële App Store haalt? Mooi. Dan heb je niets te vrezen voor de onlangs ontdekte YiSpector malware die ook iOS 8-apparaten zonder jailbreak kan infecteren. Toch is YiSpector op meerdere vlakken interessant.

Net nu Apple XcodeGhost achter zich heeft gelaten, duikt deze malware op die de beveiliging van iOS op een slimme manier probeert te omzeilen. Wat zit er achter dit kat-en-muisspel dat zich vooral in China afspeelt?

Waarom altijd Azië?

De meeste iOS-malware richt zich voornamelijk op China, kijk maar naar de WireLurker-malware uit 2014 en de recent opgedoken XcodeGhost. Dat is niet voor niets, want in China zijn alternatieve app stores en de bereidheid om apps buiten de App Store om te installeren veel groter. Meestal worden gebruikers verleid om gekraakte versies van apps te installeren. De alternatieve App Stores controleren apps bovendien niet op malware en zijn daarom de ultieme besmettingshaard.

De ‘Maiyadi’ App Store in China.

Arsenaal aan trucs

De makers van YiSpector hadden een erg actieve rol in het verspreiden van de malware, blijkt uit onderzoek van beveiligingsfirma Palo Alto Networks. De malware had een arsenaal aan trucs om zoveel mogelijk gebruikers te besmetten en wachtte niet af tot een gebruiker de app via een alternatieve App Store installeerde.

  • Chat-app QQ: De in China populaire cross platform chat-app QQ werd ingezet om links naar geïnfecteerde apps te verspreiden. Een Windows-virus stuurde links naar geïnfecteerde apps rond.
  • Gratis porno: In China is porno verbannen en dat leidt ertoe dat applicaties om porno te kijken via onofficiële wegen hun weg naar iPhones en iPads vinden. YiSpector kwam mee met een ‘speciale versie’ van de QVOD-videospeler die vaak gebruikt wordt om porno te kijken.
  • Internetproviders: Opmerkelijk is dat internetproviders ook een rol hadden in het verspreiden van de malware. Lokale providers deden al dan niet bewust aan traffic hijacking waarbij code in webpagina’s werd geïnjecteerd. Vaak ging het om scripts die de kwaadaardige app ter installatie aanboden. Een gebruiker klaagt hier op het Chinese Apple Forum (Google Translatie) over deze onverklaarbare popups.
  • Marktplaats: Een ander grijs gebied zijn online marktplaatsen voor app installs. Een ontwikkelaar biedt iedereen die zijn app op telefoons kan installeren een financiële vergoeding. In het geval van YiSpector werd $0,40 per installatie geboden. Malafide telecomwinkels gaan om een centje bij te verdienen vaak op die soort voorstellen in.

YiSpecter1

YiSpector: Verschillende lagen en private API’s

YiSpector bestond niet uit één kwaadaardige app, maar uit vier componenten die elkaar installeerden. Er waren twee hoofd-apps verantwoordelijk voor de distributie. Een in de vorm van de QVOD-videospeler die gratis porno beloofde en een waarmee gebruikers punten konden verdienen door het installeren van andere apps (screenshot hierboven, rechts).

Deze apps waren getekend met Enterprise Certificaten, die worden door bedrijven gebruikt om applicaties uit te rollen, maar zijn ook geliefd bij alternatieve App Stores. iOS toont een waarschuwing bij het openen van deze app, maar gebruikers kunnen gemakkelijk doorklikken.
areyousure-certificaat-001

Verbergen en vermommen

De hoofd-apps installeerden vervolgens drie andere kwaadaardige apps die vermomd waren als Game Center, Cydia en Passbook. Omdat het op zou vallen als deze apps twee keer op het homescreen zouden verschijnen, werd gebruik gemaakt van private API’s (ongedocumenteerde iOS-functies) om de iconen te verbergen. Apple staat het gebruik van deze API’s in apps niet toe, maar omdat de apps buiten de App Store om verspreid werden, was er geen controle. Door het verbergen van iconen was er ook geen gemakkelijke manier om de kwaadaardige apps te verwijderen.

De kwaadaardige apps en hun functie:

  • NoIcon: legt de basis voor de malware. Houdt een verbinding met de controleserver open en voert commando’s die op afstand gegeven worden uit. Kan andere apps installeren, verwijderen en gereed maken voor het tonen advertenties.
  • ADPage: toont te pas en te onpas advertenties in apps en Safari.
  • NoIconUpdate: checkt regelmatig of alle componenten nog aanwezig zijn en installeert nieuwe versies.

Al die moeite voor wat advertenties?

Zoals je gelezen hebt zit YiSpector behoorlijk slim in elkaar en mocht de distributie wat kosten. Al die moeite werd niet gedaan om wachtwoorden of foto’s te stelen, maar vooral om gebruikers te spammen met advertenties in apps en Safari. Dat is geen toeval, want de onderzoekers van Palo Alto Networks hebben diverse verwijzingen naar het Chinese online-marketingbedrijf YingMob Interaction gevonden. Een van de certificaten die gebruikt werd, was van Yingmob en in de broncode van de apps staat het bedrijf meermaals als auteur aangemerkt.

Er is geen hard bewijs dat YingMob de malware maakte om advertentieweergaven te pushen, maar het heeft er wel alle schijn van. De malware was al sinds november 2014 in omloop en heeft mogelijk miljoenen impressies voor advertenties gegenereerd.
YingMob Interaction

Reactie Apple en iOS 9

Apple heeft laten weten dat de malware al in iOS 8.4 onschadelijk is gemaakt en dat de ongedocumenteerde methoden die gebruikt werden om apps te verbergen niet langer werken.

“This issue only impacts users on older versions of iOS who have also downloaded malware from untrusted sources. We addressed this specific issue in iOS 8.4 and we have also blocked the identified apps that distribute this malware. We encourage customers to stay current with the latest version of iOS for the latest security updates. We also encourage them to only download from trusted sources like the App Store and pay attention to any warnings as they download apps.”

Een constant terugkerend item bij iOS-malware zijn onofficiële App Stores en enterprise certificaten. In iOS 9 is het een stuk minder makkelijk om apps met deze certificaten te installeren. Gebruikers moeten deze eerst via het Instellingen-menu van de iPhone vertrouwen en kunnen niet zomaar doorklikken. Voorlopig is dus het weer 1-0 voor Apple, maar het blijft een kat-en-muisspel met de iPhone-gebruiker als zwakste schakel.

Reacties

3 reacties
  • Profielfoto
    MvdM

    Interessant artikel.

  • Profielfoto
    DBLCreations

    Interessant artikel, toch kan ik alleen maar zeggen:

    Als je vanuit onbetrouwbare bronnen apps download, of als je illegaal apps download dan vraag je er zelf om. Ik heb daar geen compassie mee, ik betaal mijn apps en andere software, zoals adobe cc. Het beste dat je altijd kan doen is toch rechtstreeks uit de App store je apps kopen. De meeste apps zijn niet eens zo duur, tenzij je audio of video apps of iets in dergelijke aard zou moeten hebben.

    Hoe dan dan ook. Het is dus niet de Mac of OS zijn fout, maar wel die van de gebruiker!

  • Profielfoto
    snipper

    Als ik spam krijg of lastige pop-up advertenties – voor mij bijna dezelfde categorie – dan raak ik geïrriteerd en krijg ik een hekel aan het getoonde product / merk. Als ik later moet kiezen tussen hun merk en een ander, zal ik sterk naar het andere merk neigen. Ik begrijp dan ook niet wat adverteerders hiermee denken te bereiken.

    @DBCreations Je kon deze malware ook oplopen via websites en via installaties door telecomwinkels. Dit had dus ook in Nederland kunnen gebeuren, met mensen die alle apps netjes in de App Store kopen, zoals jij en ik.