Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc YiSpecter có thể xâm nhập cả thiết bị iOS chưa jailbreak
Chưa đầy một tháng kể từ khi hơn 4.000 ứng dụng trên kho App Store của Apple bị phát hiện chứa mã độc, các chuyên gia vừa công bố một mã độc có thể xâm nhập cả các thiết bị iOS chưa jailbreak.
Mã độc mới YiSpecter nhắm tới người dùng iOS tại Trung Quốc và Đài Loan.
Các khả năng của mã độc
- Cài đặt các ứng dụng không mong muốn
- Thay thế các ứng dụng hợp pháp bằng các ứng dụng độc hại
- Buộc các ứng dụng hiển thị quảng cáo không mong muốn tràn trên màn hình
- Đổi các bookmark cũng như công cụ tìm kiếm mặc định trên Safari
- Gửi thông tin người dùng về máy chủ của tin tặc
- Tự động xuất hiện lại ngay cả khi người dùng đã xóa thủ công trên thiết bị iOS
Hiện vẫn chưa rõ bao nhiêu người dùng đã hoặc sẽ bị ảnh hưởng bởi YiSpecter.
“Không quan trọng iPhone của bạn đã jailbreak hay chưa, mã độc vẫn có thể được tải về và cài đặt. Thậm chí nếu bạn xóa [YiSpecter] thì nó cũng tự động xuất hiện trở lại”, chuyên gia của Palo Alto Networks cho biết.
Phương thức xâm nhập
YiSpecter khai thác các điện thoại chưa jailbreak bằng cách lợi dụng API riêng cho phép 4 thành phần của mã độc có thể được ký số hợp pháp để cài đặt từ một máy chủ C&C tập trung. 3 trong số 4 thành phần độc hại đó có thể ẩn các icon trên iOS SpringBoard (ứng dụng mặc định quản lý các ứng dụng màn hình chính) và giả dạng với tên và logo của các ứng dụng hệ thống để tránh bị người dùng phát hiện.
Theo các chuyên gia, mã độc YiSpecter đã nhắm tới các thiết bị iOS của Apple trong khoảng 10 tháng trở lại đây. Trong lần xuất hiện đầu tiên, mã độc lây lan thông qua giả mạo một ứng dụng cho phép người dùng xem phim khiêu dâm. Ứng dụng này được giới thiệu là phiên bản riêng của trình xem video phổ biến “QVOD” phát triển bởi Kuaibo(快播) để chia sẻ phim khiêu dâm.
Mã độc sau đó lây nhiễm nhiều thiết bị thông qua hijack lưu lượng Internet từ ISP; đi kèm với mã độc Windows nhắm vào dịch vụ nhắn tin QQ hay từ việc người dung cài đặt ứng dụng của một bên thứ ba.
Các chuyên gian an ninh đã báo thông tin về mã độc YiSpecter tới Apple. Hãng này cho biết đang tiến hành điều tra, tìm hiểu vấn đề.
Cách gỡ YiSpecter khỏi thiết bị
Người dùng iOS bị ảnh hưởng bởi YiSpecter có thể tiến hành các bước dưới đây để gỡ mã độc khỏi thiết bị:
- Vào Settings à General à Profiles và loại bỏ toàn bộ các profile lạ hoặc không tin cậy.
- Xóa bất kỳ ứng dụng nào có tên 情涩播放器, 快播私密版 hoặc 快播0.
- Người dùng có thể sử dụng công cụ quản lý iOS của bên thứ ba như iFunBox trên Windows hoặc Mac OS X để kết nối với thiết bị iPhone, iPad
- Kiểm tra các ứng dụng iOS như Phone, Weather, Game Center, Passbook, Notes hoặc Cydia và xóa các profile lạ.
(Lưu ý: thao tác này sẽ không ảnh hưởng tới các ứng dụng hệ thống gốc mà chỉ xóa các ứng dụng mã độc giả mạo).
Mã độc mới YiSpecter nhắm tới người dùng iOS tại Trung Quốc và Đài Loan.
Các khả năng của mã độc
- Cài đặt các ứng dụng không mong muốn
- Thay thế các ứng dụng hợp pháp bằng các ứng dụng độc hại
- Buộc các ứng dụng hiển thị quảng cáo không mong muốn tràn trên màn hình
- Đổi các bookmark cũng như công cụ tìm kiếm mặc định trên Safari
- Gửi thông tin người dùng về máy chủ của tin tặc
- Tự động xuất hiện lại ngay cả khi người dùng đã xóa thủ công trên thiết bị iOS
Hiện vẫn chưa rõ bao nhiêu người dùng đã hoặc sẽ bị ảnh hưởng bởi YiSpecter.
“Không quan trọng iPhone của bạn đã jailbreak hay chưa, mã độc vẫn có thể được tải về và cài đặt. Thậm chí nếu bạn xóa [YiSpecter] thì nó cũng tự động xuất hiện trở lại”, chuyên gia của Palo Alto Networks cho biết.
Phương thức xâm nhập
YiSpecter khai thác các điện thoại chưa jailbreak bằng cách lợi dụng API riêng cho phép 4 thành phần của mã độc có thể được ký số hợp pháp để cài đặt từ một máy chủ C&C tập trung. 3 trong số 4 thành phần độc hại đó có thể ẩn các icon trên iOS SpringBoard (ứng dụng mặc định quản lý các ứng dụng màn hình chính) và giả dạng với tên và logo của các ứng dụng hệ thống để tránh bị người dùng phát hiện.
Theo các chuyên gia, mã độc YiSpecter đã nhắm tới các thiết bị iOS của Apple trong khoảng 10 tháng trở lại đây. Trong lần xuất hiện đầu tiên, mã độc lây lan thông qua giả mạo một ứng dụng cho phép người dùng xem phim khiêu dâm. Ứng dụng này được giới thiệu là phiên bản riêng của trình xem video phổ biến “QVOD” phát triển bởi Kuaibo(快播) để chia sẻ phim khiêu dâm.
Mã độc sau đó lây nhiễm nhiều thiết bị thông qua hijack lưu lượng Internet từ ISP; đi kèm với mã độc Windows nhắm vào dịch vụ nhắn tin QQ hay từ việc người dung cài đặt ứng dụng của một bên thứ ba.
Các chuyên gian an ninh đã báo thông tin về mã độc YiSpecter tới Apple. Hãng này cho biết đang tiến hành điều tra, tìm hiểu vấn đề.
Cách gỡ YiSpecter khỏi thiết bị
Người dùng iOS bị ảnh hưởng bởi YiSpecter có thể tiến hành các bước dưới đây để gỡ mã độc khỏi thiết bị:
- Vào Settings à General à Profiles và loại bỏ toàn bộ các profile lạ hoặc không tin cậy.
- Xóa bất kỳ ứng dụng nào có tên 情涩播放器, 快播私密版 hoặc 快播0.
- Người dùng có thể sử dụng công cụ quản lý iOS của bên thứ ba như iFunBox trên Windows hoặc Mac OS X để kết nối với thiết bị iPhone, iPad
- Kiểm tra các ứng dụng iOS như Phone, Weather, Game Center, Passbook, Notes hoặc Cydia và xóa các profile lạ.
(Lưu ý: thao tác này sẽ không ảnh hưởng tới các ứng dụng hệ thống gốc mà chỉ xóa các ứng dụng mã độc giả mạo).
Nguồn: The Hacker News