L’azienda di sicurezza informatica Palo Alto Networks ha scovato un nuovo malware, chiamato YiSpecter, che infetta dispositivi iOS appoggiandosi ad API private. Ad essere colpiti, per il momento, sono in maggior parte utenti residenti in Cina e Taiwan.

Il malware YiSpecter è capace di installare sui dispositivi infetti app indesiderate, rimpiazzando le app originali con quelle scaricate. Inoltre, mostra pubblicità a schermo intero, cambia i siti preferiti e il motore di ricerca predefinito in Safari. Dulcis in fundo, oltre ad inviare i dati personali dell'utente ai propri server, anche dopo essere stato disinstallato manualmente riappare automaticamente.

YiSpecter in azione
YiSpecter in azione

L'atipicità di questo malware sta nel fatto che attacca non solo dispositivi jailbreakati ma anche quelli rimasti come mamma Apple li ha fatti, approfittando di API private che consentono ai suoi quattro componenti (che sono firmati con certificati aziendali per apparire legittimi) di scaricarsi e installarsi da un server centralizzato.
L'esperto della Palo Alto Networks ha fatto notare come l'abuso delle API di sicurezza da parte di un'app illeggittima, fa fare un passo indietro alla barriera di sicurezza finora sbandierata da Apple.

Tre dei quattro componenti sono capaci di nascondere le proprie icone alla SpringBoard (l'app che avvia l'Home screen) e mascherarsi con nomi e loghi di altre applicazioni per sfuggire al controllo da parte degli utenti. Dalla Palo Alto Networks dicono che il malware è in giro da almeno 10 mesi e che su 57 siti di sicurezza solo VirusTotal, un servizio di scansione gratuito, attualmente lo rileva.

Sul blog di Palo Alto Networks ci sono la procedura per rimuovere YiSpecter dai dispositivi e maggiori informazioni sul malware stesso.