Se ha descubierto un nuevo malware para iOS que se aprovecha de APIs privadas en el sistema operativo para implementar funcionalidades maliciosas. Se llama YiSpecter y las soluciones de ESET lo detectan como un troyano con las variantes iOS/YiSpecter.A trojan y iOS/YiSpecter.B trojan.
Los investigadores de Palo Alto son los responsables del hallazgo, que publicaron el domingo en un detallado análisis. Las víctimas son principalmente usuarios de China continental y la Isla de Taiwán.
Se propaga a través de métodos "inusuales", incluyendo la intercepción del tráfico de ISPs a escala nacional, un gusano en servicios de red social en Windows y la instalación de aplicaciones sin conexión. Lo alarmante de YiSpecter es que afecta a dispositivos iPhone ya sea que tengan hecho el jailbreak o no.
El malware se compone de cuatro componentes, que están firmados con certificados de empresas. Mediante el aprovechamiento de las APIs privadas, estas cuatro unidades son capaces de "descargarse e instalarse unas a otras" desde un servidor de comando y control.
Luego, tres de los componentes se insertan en iOS mediante el uso de técnicas engañosas que ocultan con eficacia sus íconos en la pantalla de inicio del sistema operativo (conocida como SpringBoard), para que al usuario se le dificulte encontrarlos y borrarlos. Palo Alto Networks dijo que el malware puede, en los dispositivos infectados, descargar, instalar y poner en marcha aplicaciones para iOS arbitrarias.
Además, YiSpecter puede sustituir aplicaciones actuales con los que deliberadamente descarga, "secuestrar la ejecución de otras aplicaciones para mostrar anuncios, cambiar el motor de búsqueda por defecto de Safari y cargar información del dispositivo al servidor".
Esta amenaza para el sistema móvil de Apple le sigue a otra notable como fue WireLurker, que también se abusaba de certificados para empresas y afectaba, por lo tanto, a equipos con y sin jailbreak. YiSpecter combina esta técnica con la utilización de APIs privadas y es ahí donde radica su potencial peligro.
La compañía informó sobre este el malware para iOS a Apple, pidiéndole al gigante de la tecnología que "revoque los certificados empresariales abusados".
El consejo general para los usuarios es que se abstengan de la descarga de aplicaciones que provienen de fuentes no oficiales, que incluye sitios web y desarrolladores que no son bien conocidos.