就在 XcodeGhost 攻擊事件爆發之後沒多久,緊接著就出現了一個名叫「YiSpecter」的最新惡意程式,專門感染 iOS 裝置。根據報導,此惡意程式可自行安裝在已越獄或未越獄的 iOS 裝置。YiSpecter 是第一個利用 Apple 非公開 API 漏洞的 iOS 惡意程式,駭客經由官方的 App Store 來進入 iOS 裝置 (不論裝置是否已越獄)。研究人員發現此惡意程式已經在外活躍將近 10 個月,絕大多數受感染的使用者都在中國和台灣。
[延伸閱讀:利用暗藏惡意程式的 Xcode 開發工具感染 iOS 應用程式]
YiSpecter 利用了獨創的自我散播技巧。其蹤跡最早可追溯至 2014 年 11 月,此惡意程式的散布方式之一是偽裝成網路色情視訊串流程式。此外,它還會藉由下列方式來散布:攔截來自國內 ISP 的流量、離線安裝應用程式、一個 Windows 裝置的社群網路蠕蟲,以及經由社群推薦。此惡意程式利用企業憑證和非公開 API 來躲過 Apple 的應用程式審查流程。
此惡意程式一旦進入 iOS 裝置,就能繼續下載、安裝、啟動其他應用程式,此外還會取代現有的應用程式、攔截廣告、修改瀏覽器預設搜尋引擎,並且上傳裝置資訊到幕後操縱 (C&C) 伺服器。而且,研究人員更發現,即使是手動刪除該惡意程式,它也還會再自己出現。
根據 Apple 最近發表的聲明:
「此問題只會影響使用舊版 iOS 並從非可靠來源下載了惡意程式的使用者。我們已在 iOS 8.4 當中解決了這個問題,同時也封鎖了散布此惡意程式的應用程式。我們鼓勵客戶應隨時更新到最新版的 iOS 系統來獲得最新的安全更新。此外,也鼓勵客戶務必僅從可靠來源 (如 App Store) 下載應用程式,並且留意下載時所出現的任何警告。」 繼續閱讀
