Apple, altro colpo alla sicurezza: ecco YiSpecter, il malware camaleonte

NUOVA breccia nell’ecosistema Apple. Proprio nel giorno in cui il mondo ricorda il geniale fondatore Steve Jobs, scomparso il 5 ottobre del 2011, una società di consulenza che porta il nome della stessa località dove il rivoluzionario innovatore si spense, la Palo Alto Networks, individua un nuovo malware che sarebbe riuscito a penetrare gli iPhone. Si chiama YiSpecter, sarebbe al lavoro già da una decina di mesi e avrebbe colpito, in particolare, utenti cinesi e taiwanesi.

Sembra molto più insidioso di XCodeGhost, un altro software malevolo individuato appena il mese scorso: una volta che ha infettato il dispositivo, infatti, YiSpecter è in grado di installare app a suo piacimento, rimpiazzarne di legittime con altre scaricate in automatico, forzare applicazioni per mostrare pubblicità a tutto schermo, cambiare i preferiti e le impostazioni di Safari e ovviamente sottrarre le informazioni degli utenti inviandole ai suoi server. Difficile eliminarlo: ha coinvolto non solo gli iPhone sottoposti a “jailbreak”, la procedura per sbloccare gli iPhone e installare app non ufficiali, ma anche quelli non sbloccati e riappare automaticamente quando viene rimosso.

Secondo la Palo Alto Networks si tratta di un malware poco usuale per la piattaforma di Cupertino, almeno fra quelli identificati. In particolare per il suo funzionamento: attacca infatti gli smartphone sfruttando le Api private. Si tratta delle interfacce di programmazione delle applicazioni che non vengono rese pubbliche dagli sviluppatori e che Apple non accetta nel suo negozio digitale. In questo modo il virus riesce a veicolare le quattro componenti di cui è composto, dotate di certificati legittimi (“enterprise certificate”) e che si installano l’uno con l’altro, a catena, da un cosiddetto “command-and-control server”, i cervelli dei botnet. È il primo a seguire un meccanismo del genere. Secondo il ricercatore Claud Xiao “YiSpecter sposta la linea di confine della sicurezza di iOS indietro di un altro passo”. Una ricerca in via di pubblicazione firmata dalla Purdue University sostiene per esempio che nell’App Store vi siano 146 applicazioni così compromesse.

Il malware, in circolazione dal novembre 2014, sfodera dunque un funzionamento camaleontico, visto che tre delle sue componenti sono in grado di nascondersi nel sistema operativo assumendo nomi e icone delle altre applicazioni. I “pazienti zero”, per chiamare così gli utenti che per primi hanno visto i loro telefoni infettarsi, sono stati contagiati tramite una falsa versione di un’applicazione chiamata Qvod, rimossa in realtà la scorsa primavera sia da App Store che da Play Store perché consentiva anche la distribuzione di materiale pornografico. L’applicazione sostitutiva, dunque finta, è stata oggetto nei mesi successivi di una lunga campagna promozionale su forum, siti e anche tramite gli internet provider cinesi, finendo per spingere molti utenti a installarla al di fuori dell’App Store, per esempio dai negozi di app non ufficiali, e avviare così il contagio. Dietro, dovrebbe esserci una compagnia di pubblicità cinese.

Il nuovo sistema operativo di Apple, iOS 9, già aggiornato due volte dal rilascio ufficiale dello scorso settembre, dovrebbe essere immune da questo tipo di minaccia. Tuttavia, per quanto non appaiano legate fra loro, XCodeGhost e YiSpecter dimostrano secondo Xiao le vulnerabilità di Apple specialmente sul mercato cinese. “Il mondo in cui solo i dispositivi con iOS sottoposto a jailbreak erano a rischio di virus è finito”, ha scritto il ricercatore. Lo aveva d’altronde già dimostrato WireLurker, diffuso lo scorso anno. C’è solo da domandarsi se e quando questi rischi da Oriente finiranno per minacciare anche gli utenti dei mercati occidentali: “Potremmo vederne alcune varianti e mutazioni diffondersi nel resto del mondo”, ha aggiunto l’esperto Mark James della Eset all’International Business Times.

Redazione

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

News recenti

News più lette di oggi