iOS 新型惡意應用曝光 未越獄設備也有危險

Xcode 風波剛剛消退，現在美國網絡安全公司 Palo Alto Network 又公布了一種名為“YiSpecter”惡意病毒，存在相關惡意代碼的應用不僅可以安裝于越獄設備，未越獄設備同樣會受到威脅。

什么是 YiSpecter 病毒？

據 Palo Alto Network 介紹，他們將新型病毒命名為“YiSpecter”，它主要針對中國大陸和臺灣地區的 iOS 用戶，傳播病毒的主要有“HYQvod”和“DaPian”兩款應用，中文譯名分別為“快播私密版”和“大片播放器”，導致用戶意外安裝惡意應用的方式主 要是點擊一些不良網頁中的播放器下載鏈接。

傳播方式？

它們能在獲取系統的企業應用證書后，讓感染設備繼續下載并自動安裝其它惡意應用，例如 NoIcon、ADPage、NoIconUpdate、C2 Server 等，通過強制更多應用顯示指定的宣傳廣告并下載應用而獲利。

受感染設備的主要癥狀？

- 利用第三方檢測工具可以檢測到一些額外的“系統應用”，實際上為惡意應用偽裝而成
- 被惡意應用影響的已裝應用會被強制顯示全屏廣告

風險？

被感染的 iOS 設備不僅會繼續下載安裝更多惡意應用，應用本身還能利用惡意代碼

- 隱藏桌面圖標
- 自動升級
- 監測系統行為
- 收集用戶和系統信息
- 強制卸載已存在應用
- 改變 Safari 瀏覽器配置
- 偽裝成系統應用讓用戶不能輕易卸載，且若卸載不干凈便會重新出現

幕后黑手？

Palo Alto Network 進一步解釋稱，YiSpecter 病毒與此前的 Xcode 風波沒有聯系，根據流量指向推測，幕后黑手很有可能是國內一家名為“微贏互動（YingMob Interaction）”的公司，同時“好易蘋果助手（又名‘蜂鳥助手’）”也脫不了干系。目前 Palo Alto Network 已經向蘋果方面反饋了 YiSpecter 病毒，后者還未回復。

解決方法？

為此，Palo Alto Network 建議受 YiSpecter 病毒困擾的用戶

- 進入“設置-通用-描述文件（Profiles）”中移除未知和不受信任的描述文件；
- 移除“情澀播放器”、“快播私密版”、“快播 0”等應用；
- 利用 PC 端的第三方檢測工具，連接設備后查找名字與系統應用名相同的應用，例如通話、天氣、游戲中心、Cydia 等，刪除它們（這并不會影響到真正的系統應用）。