Ben je een Europeaan die zijn apps alleen uit de officiële App Store haalt? Mooi. Dan heb je niets te vrezen voor de onlangs ontdekte YiSpector malware die ook iOS 8-apparaten zonder jailbreak kan infecteren. Toch is YiSpector op meerdere vlakken interessant.

Net nu Apple XcodeGhost achter zich heeft gelaten, duikt deze malware op die de beveiliging van iOS op een slimme manier probeert te omzeilen. Wat zit er achter dit kat-en-muisspel dat zich vooral in China afspeelt?

Waarom altijd Azië? De meeste iOS-malware richt zich voornamelijk op China, kijk maar naar de WireLurker-malware uit 2014 en de recent opgedoken XcodeGhost. Dat is niet voor niets, want in China zijn alternatieve app stores en de bereidheid om apps buiten de App Store om te installeren veel groter. Meestal worden gebruikers verleid om gekraakte versies van apps te installeren. De alternatieve App Stores controleren apps bovendien niet op malware en zijn daarom de ultieme besmettingshaard.

De ‘Maiyadi’ App Store in China. Arsenaal aan trucs De makers van YiSpector hadden een erg actieve rol in het verspreiden van de malware, blijkt uit onderzoek van beveiligingsfirma Palo Alto Networks. De malware had een arsenaal aan trucs om zoveel mogelijk gebruikers te besmetten en wachtte niet af tot een gebruiker de app via een alternatieve App Store installeerde.

Chat-app QQ: De in China populaire cross platform chat-app QQ werd ingezet om links naar geïnfecteerde apps te verspreiden. Een Windows-virus stuurde links naar geïnfecteerde apps rond. Gratis porno: In China is porno verbannen en dat leidt ertoe dat applicaties om porno te kijken via onofficiële wegen hun weg naar iPhones en iPads vinden. YiSpector kwam mee met een ‘speciale versie’ van de QVOD-videospeler die vaak gebruikt wordt om porno te kijken. Internetproviders: Opmerkelijk is dat internetproviders ook een rol hadden in het verspreiden van de malware. Lokale providers deden al dan niet bewust aan traffic hijacking waarbij code in webpagina’s werd geïnjecteerd. Vaak ging het om scripts die de kwaadaardige app ter installatie aanboden. Een gebruiker klaagt hier op het Chinese Apple Forum (Google Translatie) over deze onverklaarbare popups. Marktplaats: Een ander grijs gebied zijn online marktplaatsen voor app installs. Een ontwikkelaar biedt iedereen die zijn app op telefoons kan installeren een financiële vergoeding. In het geval van YiSpector werd $0,40 per installatie geboden. Malafide telecomwinkels gaan om een centje bij te verdienen vaak op die soort voorstellen in. YiSpector: Verschillende lagen en private API’s YiSpector bestond niet uit één kwaadaardige app, maar uit vier componenten die elkaar installeerden. Er waren twee hoofd-apps verantwoordelijk voor de distributie. Een in de vorm van de QVOD-videospeler die gratis porno beloofde en een waarmee gebruikers punten konden verdienen door het installeren van andere apps (screenshot hierboven, rechts).

Deze apps waren getekend met Enterprise Certificaten, die worden door bedrijven gebruikt om applicaties uit te rollen, maar zijn ook geliefd bij alternatieve App Stores. iOS toont een waarschuwing bij het openen van deze app, maar gebruikers kunnen gemakkelijk doorklikken.

Verbergen en vermommen De hoofd-apps installeerden vervolgens drie andere kwaadaardige apps die vermomd waren als Game Center, Cydia en Passbook. Omdat het op zou vallen als deze apps twee keer op het homescreen zouden verschijnen, werd gebruik gemaakt van private API’s (ongedocumenteerde iOS-functies) om de iconen te verbergen. Apple staat het gebruik van deze API’s in apps niet toe, maar omdat de apps buiten de App Store om verspreid werden, was er geen controle. Door het verbergen van iconen was er ook geen gemakkelijke manier om de kwaadaardige apps te verwijderen.

De kwaadaardige apps en hun functie:

NoIcon: legt de basis voor de malware. Houdt een verbinding met de controleserver open en voert commando’s die op afstand gegeven worden uit. Kan andere apps installeren, verwijderen en gereed maken voor het tonen advertenties. ADPage: toont te pas en te onpas advertenties in apps en Safari. NoIconUpdate: checkt regelmatig of alle componenten nog aanwezig zijn en installeert nieuwe versies. Al die moeite voor wat advertenties? Zoals je gelezen hebt zit YiSpector behoorlijk slim in elkaar en mocht de distributie wat kosten. Al die moeite werd niet gedaan om wachtwoorden of foto’s te stelen, maar vooral om gebruikers te spammen met advertenties in apps en Safari. Dat is geen toeval, want de onderzoekers van Palo Alto Networks hebben diverse verwijzingen naar het Chinese online-marketingbedrijf YingMob Interaction gevonden. Een van de certificaten die gebruikt werd, was van Yingmob en in de broncode van de apps staat het bedrijf meermaals als auteur aangemerkt.

Er is geen hard bewijs dat YingMob de malware maakte om advertentieweergaven te pushen, maar het heeft er wel alle schijn van. De malware was al sinds november 2014 in omloop en heeft mogelijk miljoenen impressies voor advertenties gegenereerd.

Reactie Apple en iOS 9 Apple heeft laten weten dat de malware al in iOS 8.4 onschadelijk is gemaakt en dat de ongedocumenteerde methoden die gebruikt werden om apps te verbergen niet langer werken.

Een constant terugkerend item bij iOS-malware zijn onofficiële App Stores en enterprise certificaten. In iOS 9 is het een stuk minder makkelijk om apps met deze certificaten te installeren. Gebruikers moeten deze eerst via het Instellingen-menu van de iPhone vertrouwen en kunnen niet zomaar doorklikken. Voorlopig is dus het weer 1-0 voor Apple, maar het blijft een kat-en-muisspel met de iPhone-gebruiker als zwakste schakel.