Hace un par de semanas Apple se dedicó a eliminar una buena lista de aplicaciones de la App Store que estaban infectadas por un malware conocido como XcodeGhost. Puesto que Apple tiene cerrado a cal y canto su sistema iOS, los hackers tienen que ser cada vez más creativos, y el nuevo malware detectado por una firma de seguridad utiliza las aplicaciones de terceros como vector de ataque.
El malware se llama YiSpecter, y tiene como objetivo colarse en los dispositivos iOS mediante las API privadas utilizadas por aplicaciones de terceros. Cuando realizas una llamada a una API (por ejemplo para ver tus datos de usuario de un servicio), se realiza de manera segura y eso implica el uso de un certificado válido y de confianza. Esa llamada se realiza para iniciar la descarga e instalación de código malicioso y otras aplicaciones, y es un problema de confianza en el desarrollador. Por ahora se limita a mostrar anuncios a pantalla completa al abrir cualquier aplicación.
La forma en la que comenzó a extender hace 10 meses este malware fue mediante una aplicación para ver porno gratis. A partir de ahí se ha ido extendiendo al piratear el tráfico de internet de los teléfonos infectados y propagándose gracias a un gusano en el programa de mensajería instantánea QQ de Tencent, una importante operadora china y motivo por el que no ha afectado fuera del país por ahora. También se ha propagado a través de otras aplicaciones de terceros que los usuarios instalan a raíz de promociones.
YiSpecter cambia incluso el icono y nombre de las aplicaciones adicionales descargadas para que pasen desapercibidas por parte del usuario. La combinación de descarga del malware a través de hacer un mal uso de una API privada con usuarios que se instalan cualquier aplicación es un problema del que pocos sistemas operativos pueden escapar.
Afecta por igual a dispositivos con y sin jailbroken, por lo que en el proceso seguramente haya implicada algún tipo de vulnerabilidad desconocida en iOS.
Actualización: según declaraciones de Apple, la vulnerabilidad que explotaba este malware fue solventado en iOS 8.4, actualización que llegó el 30 de junio para dar entrada al nuevo servicio Apple Music. También bloqueó las aplicaciones afectadas, y animan a los usuarios a tener siempre su dispositivo actualizado para no caer presa de aplicaciones maliciosas, y no instalar aplicaciones de fuera de la App Store.
Vía: TechCrunch.