iOS est confronté à une nouvelle menace particulièrement dangereuse. Des chercheurs en sécurité travaillant pour Palo Alto Networks sont effectivement tombés sur un nouveau malware particulièrement vicieux en fouinant les internets. YiSpecter, c’est son nom, est capable d’infecter un iPhone ou un iPad en quelques instants. Le pire reste à venir car il pourra même installer des applications tierces et récupérer dans la foulée les données de l’utilisateur.
D’après les informations dont on dispose, YiSpecter serait surtout présent en Chine et il se présenterait sous la forme d’une application diffusant des contenus pour adultes. De la pornographie, donc.
Elle ne serait pas diffusée par l’intermédiaire de l’AppStore mais directement par un site web.
YiSpecter se présente sous la forme d’une application pornographique
Comment est-ce possible ? En s’appuyant sur une technique assez répandue dans le monde de l’entreprise : la distribution In-House. Cette méthode permet de diffuser des applications sans avoir besoin de passer par l’AppStore et par l’équipe de validation d’Apple.
Elle s’appuie sur trois fichiers distincts et plus précisément sur l’application (ipa), le descriptif (manifest) et le profil d’approvisionnement (mobileprovision).
Pour créer ces fichiers, il suffit de s’appuyer sur Xcode. Ensuite, il faudra créer une page web pour la distribuer et c’est précisément ce qu’on fait les personnes à l’origine de YiSpecter.
Il est important de préciser que cette méthode de distribution ne nécessite pas un terminal jailbreaké. Elle fonctionne aussi sur un terminal normal.
YiSpecter peut infecter tous les terminaux, même ceux qui n’ont pas été jailbreakés
Quoi qu’il en soit, ses concepteurs ont fait les choses en grand puisque leur malware est distribué sur un site web, certes, mais également sur les réseaux sociaux.
Mieux, ils sont même parvenus à pirater des comptes créés sur QQ pour transmettre les liens à tous les amis de leurs victimes. Inutile de préciser que cette méthode a plutôt bien fonctionné.
Une fois installé sur le terminal, YiSpecter va placer trois autres applications dans la mémoire du terminal. Noicon récupèrera toutes les infos techniques de l’appareil et il les enverra à un serveur tiers. Les pirates pourront alors exécuter des commandes à distance et prendre le contrôle du terminal à l’insu de son utilisateur.
AdPage, lui, est un peu plus basique et il se contentera tout simplement d’injecter dans les pages web visitées des encarts publicitaires avec le tag du pirate. La troisième fonctionnera en fond de tâche. NolconUpdate s’assurera simplement que la dernière version de YiSpecter est installée sur l’iPhone et sur l’iPad.
Il y a tout de même une bonne nouvelle dans l’histoire. Ce malware ne peut pas infecter les dernières versions de la plateforme mobile d’Apple. Seuls les terminaux sous iOS 8.3 (et inférieur) sont concernés puisque la firme a déployé des correctifs sur iOS 8.4 et iOS 9.
Quoi qu’il en soit, cette histoire prouve une fois de plus qu’il faut faire attention à ce qu’on installe sur nos téléphones. Si vous le pouvez, évitez de passer par d’autres boutiques que l’AppStore.