Pour gérer vos consentements :

YiSpecter : aucun iPhone ne lui résiste ?

Nom : YiSpecter. Nature : malware. Zone d’influence : essentiellement la Chine et Taïwan. Vecteurs de propagation : détournement de trafic IP, ver diffusé sur les réseaux sociaux et installation d’applications hors ligne. Particularité : peut infecter tous les iPhone, qu’ils soient ou non jailbreakés.

Palo Alto Networks attire l’attention sur ce logiciel malveillant capable de télécharger et lancer des applications, d’en remplacer ou encore d’en détourner pour afficher de la publicité. Mais aussi de changer le moteur de recherche par défaut de Safari, de mettre des pages en favori et des les ouvrir… et de collecter des données pour les envoyer vers un serveur de contrôle distant.

Les premières discussions autour de YiSpecter remontent à près d’un an. Pour autant, sur les 57 éditeurs de solutions de sécurité associés au service en ligne VirusTotal, un seul est capable de le détecter.

Le malware comprend quatre composantes signées avec des certificats d’entreprises, ce qui leur permet d’abuser les API privées d’iOS et ainsi de s’installer depuis le serveur distant.

Sur ces quatre composantes, trois cachent leurs icônes sur l’écran d’accueil. Pour compliquer un peu plus leur détection, elles peuvent utiliser le même nom et le même logo que des applications système.

YiSpecter n’est pas le premier à contourner les procédures de sécurité d’Apple pour permettre la prise de contrôle d’iPhone non modifiés (WireLurker s’est déjà illustré dans cet exercice). Il a néanmoins la particularité d’y associer l’exploitation des API privées pour implanter des fonctionnalités dans l’OS et acquérir les droits administrateur qui en découlent.

Comme le note Silicon.fr, plus d’une centaine d’applications présentes sur l’App Store utilisent la même technique pour passer outre l’examen rigoureux du code effectué par Apple. Un souci majeur en termes de sécurité : même les utilisateurs qui n’ont pas déverrouillé leur téléphone et qui n’installent leurs applications que depuis l’App Store peuvent se faire piéger.

En plus de proposer de filtrer le trafic du serveur lié à YiSpecter, Palo Alto Networks fournit un mode d’emploi pour se débarrasser du malware.

Pour résumer le processus, il faut d’abord supprimer, dans les paramètres d’iOS, tous les profils inconnus ou suspicieux. Puis effacer les applications nommées en chinois. Troisième étape : à partir d’un gestionnaire sur PC ou Mac, supprimer les apps qui utilisent des noms génériques comme Passbook, Notes ou Téléphone.

Crédit photo : Syda Productions – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago