Investigadores de Palo Alto Networks identificaron una aplicación maliciosa que afecta a usuarios de dispositivos iOS con adware de contenido para adultos, la aplicación se aprovecha de certificados emitidos por Apple para compañías que desarrollan apps de uso interno.

En noviembre del año pasado se detectó el primer caso en el que una aplicación aprovechaba los certificados empresariales emitidos por Apple para ejecutar código malicioso en iPhones e iPads con software legítimo. Ahora los investigadores encontraron a YiSpecter, que además de abusar de los certificados empresariales se aprovecha de APIs privadas para mostrar publicidad y ejecutar otras aplicaciones maliciosas en dispositivos iOS sin jailbroken. Los ataques fueron identificados en China y Taiwán.

De acuerdo al reporte publicado por Palo Alto Networks, YiSpecter ha estado activo al menos 10 meses antes de ser detectado, entre las características del malware se encuentra la capacidad de abrir una puerta trasera para establecer comunicación con un servidor de control y comando, lo que permite instalar y ejecutar otras aplicaciones maliciosas. También es capaz de secuestrar aplicaciones para mostrar publicidad pornográfica, cambiar el motor de búsqueda predeterminado en Safari, añadir favoritos al navegador y abrir nuevas pestañas.

Los componentes de YiSpecter permiten que el icono de la aplicación se oculte para evitar que el usuario identifique la aplicación en el dispositivo, además de utilizar los mismos nombres y logos que las aplicaciones del sistema para pasar desapercibido.

Uno de las formas de propagación de este malware son los anuncios maliciosos. Los ISP de la región inyectan anuncios en JavaScript y HTML directamente en el tráfico, situación que es aprovechada por los atacantes para engañar a los usuarios ofreciendo la descarga del reproductor multimedia QVOD, mismo que fue sacado del mercado por las autoridades ya que el reproductor estaba diseñado para el intercambio de pornografía.

Otros métodos de propagación del malware son el gusano Lingdun, la promoción de apps en tiendas no oficiales y la instalación offline, que aprovecha los certificados empresariales que fueron emitidos por Apple a las compañías Changzhou Wangyi Information Technology Co, Baiwochuangxiang Technology y Beijing Yingmob Interaction Technology. Apple ha revocado algunos de estos certificados.

La nueva versión del sistema operativo de Apple, iOS 9, modifica el proceso de instalación de aplicaciones firmadas con los certificados empresariales de tal modo que el usuario deba dar de alta al desarrollador como fuente de confianza, entre otros pasos que debe realizar para poder instalar aplicaciones que no provengan de la Apple Store.