Güvenli bir işletim sistemi olduğu düşünülen Apple’ın bu konudaki itibarı son birkaç aydır sarsılıyor. Jailbreak edilmiş telefonlara ve iOS uygulamalarının temelini oluşturan XCode’a kötü amaçlı yazılım bulaşmasına sık sık rastlanır oldu. Palo Alto Networks’teki güvenlik uzmanları şimdi de YiSpecter adlı yeni bir iOS kötü amaçlı yazılımının ortaya çıktığını söylüyor. Bu yeni kötü niyetli iOS yazılımı hem jailbreak edilmiş hem de iOS cihazlarına bulaşması anlamında çok farklı. Bu da bir iPhone’a sahip olan herkesin risk altında olduğu anlamına geliyor. Yazılım iOS’taki özel API’ları istismar ederek cihaza bulaşıyor.
An itibarıyla yalnızca Çin ve Tayvan’daki kullanıcıların bu yazılıma hedef olmuş durumda. Onun dışında başka bir yerde başka bir kötü amaçlı yazılım raporu mevcut değil. Yazılım ülke çapındaki ISP trafiğini ele geçirmek, Windows’taki bir SNS wormu vasıtasıyla bulaşmak ve offline uygulama kurulumu gibi yollarla yayılıyor. İlginç olansa şu ki, kötü amaçlı yazılım 10 aydır dolaşımda ve kullanıcılar bu durumu Apple’a çoktan rapor etmişti.
YiSpecter dört farklı bileşenden oluşuyor. Bu bileşenler özel APIları istismar ederek bir komuta ve kontrol (C2) sunucusundan birbirini indirip yüklüyor. Bu kötü amaçlı bileşenlerin üçü ikonlarını çeşitli hilelerle iOS’un SpringBoard’undan saklamayı başarıyor, böylece kullanıcı bu bileşenleri bulup silemiyor. Bileşenler aynı zamanda aynı sistem uygulaması adını ve logosunu kullanarak iOS kullanıcılarını kandırıyor.
YiSpecter bulaştığı iOS cihazlarına rastgele iOS uygulamaları indirip, kurup, çalıştırabiliyor, mevcut uygulamaların yerine indirdiği uygulamaları koyabiliyor, diğer uygulamaları ele geçirip reklam gösterebiliyor, Safari’nin varsayılan arama motorunu, sık kullanılan sayfaları ve daha önceden açılmış sayfaları değiştirebiliyor ve cihaz bilgisini C2 sunucusuna yükleyebiliyor. YiSpecterzedelerin raporlarına göre son birkaç ayda görülen YiSpecter saldırılarının hepsinde bu davranışlar görülüyor. Bu kötü amaçlı yazılımın diğer özellikleri arasında şunlar var:
– iPhone jailbreak edilmiş olsun ya da olmasın, kötü amaçlı yazılım kolayca indirilebiliyor ve kurulabiliyor
– Yazılımı elle silseniz bile otomatik olarak yeniden ortaya çıkıyor
– Yazılımın bulaştığı telefonlarda üçüncü taraf araçları kullanarak fazladan bazı ilginç “sistem uygulamaları” bulabiliyorsunuz
– Yazılımın bulaştığı telefonlarda bazen kullanıcı normal bir uygulamayı açtığında karşısına tam sayfa bir reklam çıkıyor
Palo Alto Networks YiSpecter’ın dolaşımını engellemek için IPS ve DNS imzaları yayınladı. Buradaki önemli soru ise şu: Çin ve Tayvan’daki kullanıcıların bu sorunu online forumlarda tartışıp konuyu Apple’a rapor etmelerine rağmen Apple neden hala sorunu gidermedi? Apple normalde güvenlik sorunlarını çok hızlı bir şekilde çözmesiyle bilinir ama bu sorun 10 aydır devam ediyor. YiSpecter şu ana kadar başka bir yerde tespit edilmiş değil ama yine de kullanıcılar hala risk altında.