xs
xsm
sm
md
lg

“YiSpecter” มัลแวร์ใหม่ เจาะ iOS ได้แม้ไม่เจลเบรก

เผยแพร่:   โดย: MGR Online

ภาพจากรอยเตอร์
พาโล อัลโต เน็ตเวิร์ก (Palo Alto Networks) บริษัทซิเคียวริตีชื่อดัง พบมัลแวร์บนระบบ iOS ตัวใหม่ ซึ่งทางบริษัทตั้งชื่อให้ว่า “YiSpecter” โดยความพิเศษของมัลแวร์ตัวนี้คือ มันสามารถโจมตีไอโฟน (iPhone) ได้ทั้งเครื่องที่ทำการเจลเบรก และเครื่องที่ไม่ได้ทำการเจลเบรก ซึ่งถือเป็นครั้งแรกของโลกเลยทีเดียว

หากยังจำกันได้ เมื่อไม่นานมานี้ แอปเปิล (Apple) เพิ่งออกมายอมรับว่าระบบ iOS ถูกโจมตีโดย XcodeGhost มัลแวร์ที่แฝงตัวอยู่ในชุดพัฒนาแอปสำหรับ iOS ล่าสุด มีการค้นพบมัลแวร์ตัวใหม่ที่เริ่มโจมตีผู้ใช้งานในจีนแผ่นดินใหญ่ และไต้หวันแล้ว โดยพบว่า มัลแวร์ดังกล่าวออกล่าเหยื่อมาแล้วนานกว่า 10 เดือน และเพิ่งถูกพบเข้าโดยบริษัท VirusTotal

จากรายงานของบริษัทพาโล อัลโต เน็ตเวิร์ก ระบุว่า มัลแวร์ดังกล่าวเริ่มปฏิบัติการตั้งแต่เดือนพฤศจิกายนปีที่ผ่านมา ซึ่งแอปที่มีมัลแวร์นี้แฝงตัวมาด้วย มีฟังก์ชันที่สามารถเข้าไปชมคลิปวิดีโอลามกออนไลน์ และมีการโฆษณาโปรแกรมเล่นไฟล์ชื่อ QVOD เวอร์ชัน 5.0 ด้วย ซึ่งโปรแกรมดังกล่าวพัฒนาโดยบริษัท Kuaibo และได้รับความนิยมในหมู่ยูสเซอร์ชาวจีนเป็นอันมากในเวลานี้

โดย 2 แอปหลักที่มีมัลแวร์ดังกล่าวแฝงมาด้วยก็คือ HYQvod และ DaPian

สำหรับมัลแวร์ YiSpecter นั้น ตามข้อมูลของพาโล อัลโต ระบุว่า มันมี 4 ส่วนหลักๆ ซึ่งหน้าที่ของส่วนต่างๆ นั้น ยกตัวอย่างเช่น มีส่วนหนึ่งสามารถเข้าควบคุม API (Application Programming Interface) ในระบบของ iOS ได้ ทำให้สามารถดาวน์โหลด และติดตั้งแอปที่มันต้องการลงในเครื่องได้ด้วยตัวเอง จากนั้นอีก 3 ส่วนที่เหลือยังพัฒนามาให้มีความสามารถในการ “ซ่อนตัว” ไอคอนจาก iOS SpringBoard ทำให้เจ้าของเครื่องมองไม่เห็นแอปเหล่านั้นได้นั่นเอง

นอกจากนี้ ในส่วนที่ชื่อว่า Nolcon ซึ่งเป็น 1 ใน 4 ของส่วนประกอบใน YiSpecter ยังสามารถเข้าไปเปลี่ยนค่าดีฟอลต์ใน Safari ได้ และอัปโหลดข้อมูลไปยังเซิร์ฟเวอร์ได้ รวมถึงสามารถติดตั้งแอปตัวร้ายเพิ่มอีก 2 ตัว ชื่อ AdPage และ NolconUpdate ด้วย

ทั้งนี้ บริษัทพาโล อัลโต ได้มีข้อสังเกตว่า YiSpecter น่าจะถูกพัฒนาขึ้นโดยบริษัท YingMob Interaction ซึ่งเป็นผู้ให้บริการแพลตฟอร์มโฆษณาผ่านอุปกรณ์โมบายของจีน เนื่องจากในส่วนประกอบของมัลแวร์ YiSpecter นั้นพบว่า มีการปรากฏชื่อเซอร์ติฟิเคตของ YingMob Interaction เพื่อให้แอปนั้นดูน่าเชื่อถือต่อการดาวน์โหลดนั่นเอง

YingMob Interaction ยังพัฒนาเครื่องมือสำหรับ iOS ในชื่อ HaoYi Apple Helper ขึ้นมา โดยเครื่องมือดังกล่าวช่วยให้ผู้ใช้ไอโฟนสามารถติดตั้งแอปแบบที่ควรจะต้องเสียค่าใช้จ่ายจาก App Store ของแอปเปิล ลงในเครื่องได้โดยที่ไม่ต้องทำการเจลเบรก และยังให้ Apple ID แก่ยูสเซอร์เพื่อหลีกเลี่ยงการตรวจสอบจากแอปเปิลอีกต่างหาก

อย่างไรก็ดี ความสามารถของ YiSpecter นั้น เมื่อเทียบกับ XcodeGhost แล้วพบว่า มีความแตกต่างกัน และเป็นไปได้ว่านักพัฒนาของมัลแวร์ทั้ง 2 ตัวนี้ไม่มีความเกี่ยวข้องกัน โดย XcodeGhost นั้นสามารถเก็บข้อมูลของผู้ใช้ และอัปโหลดขึ้นเซิร์ฟเวอร์ได้ ส่วน YiSpecter นั้นก็ทำเช่นเดียวกัน แต่สามารถติดตั้งแอปใหม่เพิ่มเติมได้โดยที่เจ้าของเครื่องไม่รู้ตัวอีกด้วย

ด้านพาโล อัลโต ได้ประกาศ IPS Signature สำหรับใช้ตรวจสอบและบล็อกทราฟฟิกที่จะเกิดใน C2 (หรือก็คือเกิดจากมัลแวร์ YiSpecter) พร้อมแนะนำวิธีการในการลบ YiSpecter ออกจากเครื่องด้วยว่า ให้ไปที่ Setting - > General -> Profiles และลบโปรไฟล์ทุกตัวที่ไม่รู้จักออกให้หมด

นอกจากนั้น คำเตือนสำคัญจากพาโล อัลโต ก็คือ อย่าดาวน์โหลดแอปใดๆ ก็ตามที่ไม่ได้มาจากแหล่งที่เชื่อถือได้ ขอให้ดาวน์โหลดจากแอปสโตร์ ร้านค้าอย่างเป็นทางการของแอปเปิลโดยตรงเท่านั้น
[ข้อมูลที่ถูกลบ]
กำลังโหลดความคิดเห็น