xcode 風波剛剛消退,現在美國網絡安全公司 palo alto network 又公布了一種名為“yispecter”惡意病毒,存在相關惡意代碼的應用不僅可以安裝于越獄裝置,未越獄裝置同樣會受到威脅。
據 palo alto network 介紹,他們将新型病毒命名為“yispecter”,它主要針對中國大陸和台灣地區的 ios 使用者,傳播病毒的主要有“hyqvod”和“dapian”兩款應用,中文譯名分别為“快播私密版”和“大片播放器”,導緻使用者意外安裝惡意應用的方式主 要是點選一些不良網頁中的播放器下載下傳連結。
它們能在擷取系統的企業應用證書後,讓感染裝置繼續下載下傳并自動安裝其它惡意應用,例如 noicon、adpage、noiconupdate、c2 server 等,通過強制更多應用顯示指定的宣傳廣告并下載下傳應用而獲利。
利用第三方檢測工具可以檢測到一些額外的“系統應用”,實際上為惡意應用僞裝而成
被惡意應用影響的已裝應用會被強制顯示全屏廣告
被感染的 ios 裝置不僅會繼續下載下傳安裝更多惡意應用,應用本身還能利用惡意代碼
- 隐藏桌面圖示
- 自動更新
- 監測系統行為
- 收集使用者和系統資訊
- 強制解除安裝已存在應用
- 改變 safari 浏覽器配置
- 僞裝成系統應用讓使用者不能輕易解除安裝,且若解除安裝不幹淨便會重新出現
palo alto network 進一步解釋稱,yispecter 病毒與此前的 xcode 風波沒有聯系,根據流量指向推測,幕後黑手很有可能是國内一家名為“微赢互動(yingmob interaction)”的公司,同時“好易蘋果助手(又名‘蜂鳥助手’)”也脫不了幹系。目前 palo alto network 已經向蘋果方面回報了 yispecter 病毒,後者還未回複。
為此,palo alto network 建議受 yispecter 病毒困擾的使用者
- 進入“設定-通用-描述檔案(profiles)”中移除未知和不受信任的描述檔案;
- 移除“情澀播放器”、“快播私密版”、“快播 0”等應用;
- 利用 pc 端的第三方檢測工具,連接配接裝置後查找名字與系統應用名相同的應用,例如通話、天氣、遊戲中心、cydia 等,删除它們(這并不會影響到真正的系統應用)。