Logo após o surgimento das notícias sobre o ataque XcodeGhost, um novo malware chamado de YiSpecter foi descoberto infectando os dispositivos iOS. Segundo relatórios, o malware pode se instalar tanto em dispositivos iOS com jailbreak como nos sem jailbreak. YiSpecter é o primeiro malware para iOS que explora as APIs privadas da Apple, permitindo que agressores visem os dispositivos iOS – incluindo os não modificados e os com jailbreak – passando pela loja de aplicativos oficial (App Store). Descobriu-se que ele está ativo há quase 10 meses, afetando principalmente usuários da China e de Taiwan.

O YiSpecter usa novas técnicas para se propagar sozinho. Identificado como tendo se propagado desde novembro de 2014, o malware se propaga aparecendo como aplicativos que permitiam que os usuários vissem vídeos pornográficos. Ele então infecta outros dispositivos sequestrando o tráfego de ISPs em todo o país, instalações de aplicativos offline, um worm SNS em máquinas Windows e promoções da comunidade para se espalhar sozinho. O malware conseguiu contornar o processo de revisão de código da Apple abusando de certificados empresariais e APIs privadas.

Depois de instalado em um dispositivo iOS, o malware pode baixar, instalar e iniciar aplicativos, substituir aplicativos existentes, sequestrar anúncios, alterar o mecanismo de busca padrão do navegador e subir informações do dispositivo para um servidor C&C. O malware também foi observado reaparecendo depois de remoção manual.  

A Apple recentemente emitiu uma declaração:

“Esse problema apenas impacta usuários de versões mais antigas de iOS que também baixaram malware de fontes não confiáveis. Nós resolvemos esse problema específico no iOS 8.4 e também bloqueamos os aplicativos identificados que distribuem esse malware. Aconselhamos os clientes a ficarem atualizados com a versão mais recente de iOS para terem as atualizações de segurança mais recentes. Também aconselhamos que os clientes só façam download de fontes de confiança como a App Store e prestem atenção a qualquer alerta quando baixarem os aplicativos.”

Esse problema deve lembrar aos usuários de que, apesar da Apple ser reconhecida por sua abordagem “jardim murado”, nunca estão realmente livres dos riscos de segurança. Por isso, os usuários devem tomar medidas preventivas para se proteger. Apesar dos “buracos no muro” descobertos, ainda recomenda-se apenas fazer downloads da App Store oficial.

Finalmente, os usuários devem sempre atualizar seus aplicativos iOS para a última versão para reduzir o risco de exposição a vulnerabilidades sem patch que podem ser exploradas. Como afirmado acima, os usuários de iOS que atualizaram para as versões mais novas devem estar a salvo desse problema.