Breaking News

YiSpecter: Malware บน iOS ตัวแรกที่แพร่ระบาดได้แม้บนเครื่องที่ไม่ Jailbreak ผ่าน Private API

palo_alto_logo

ทีม Unit 42 แห่ง Palo Alto Networks ได้ค้นพบ Malware ความร้ายแรงระดับสูงบนระบบปฏิบัติการ Apple iOS ชื่อ YiSpecter ซึ่งมีความอันตรายคือสามารถแพร่ระบาดได้ทั้งบน iOS ที่ Jailbreak และไม่ได้ Jailbreak จากการใช้ Private API ของระบบปฏิบัติการ iOS นั่นเอง

การโจมตีครั้งนี้ถูกตรวจพบเป็นจำนวนมากในประเทศจีนแผ่นดินใหญ่และไต้หวัน การแพร่ระบาดนี้เกิดขึ้นผ่านช่องทางที่หลากหลาย ไม่ว่าจะเป็นการ Hijack Traffic จาก ISP, ใช้ SNS Worm บน Windows, การติดตั้ง App แบบ Offline และการโฆษณา App ที่ใช้ในการโจมตี โดยเหยื่อหลายรายได้ทำการพูดคุยเกี่ยวกับปัญหาที่เกิดขึ้นบน iPhone นี้ใน Forum หลายๆ แห่ง และรายงานให้ Apple ได้ทราบ แต่ถึงกระนั้น Malware ตัวนี้ก็ระบาดมาเป็นเวลาเกินกว่า 10 เดือน และจากการตรวจสอบความสามารถในการตรวจจับของผู้ผลิตระบบ Security บน VirusTotal ถึง 57 รายนั้น มีผู้ผลิตเพียงรายเดียวเท่านั้นที่ตรวจจับ YiSpecter ได้สำเร็จ

[Update] ล่าสุด Apple ออกมาแถลงเรียบร้อยแล้วครับว่า iOS 8.4.1 และ iOS 9 ปลอดภัยจาก Malware ตัวนี้

Credit: ShutterStock.com
Credit: ShutterStock.com

YiSpecter นั้นถูกแบ่งออกเป็น 4 App ย่อยด้วยกัน และแต่ละแอพนั้นก็มี Enterprise Certificate ที่ถูกต้องอยู่ด้วย โดยจากการใช้ Private API ในการโจมตี ทำให้แต่ละแอพของ YiSpecter สามารถทำการ Download และติดตั้งแอพที่เหลืออีก 3 แอพจาก Command & Control Server ให้ครบได้ โดย 3 แอพในนี้สามารถซ่อนตัวเองจาก iOS Springboard ได้ ทำให้ผู้ใช้งานไม่สามารถถอนการติดตั้งออกได้ ในขณะที่อีก 1 แอพที่เหลือนั้นจะปลอมไปใช้ชื่อและ Logo ของ System App ทำให้ผู้ใช้งานนั้นไม่ทันสังเกต

ในเครื่อง iOS Device ที่ติด YiSpecter นั้น YiSpecter จะสามารถทำการ Download, ติดตั้ง และเรียกใช้งาน iOS แอพใดๆ ก็ได้มาทับแอพที่มีอยู่แล้วในเครื่อง, สามารถทำการ Hijack การทำงานของแอพอื่นๆ เพื่อแสดงโฆษณาแทน, เปลี่ยน Default Search Engine, Bookmarks และ Page ที่เปิดไว้บน Safari รวมถึงอัพโหลดข้อมูลเครื่องขึ้นไปยัง Command and Control Server ทั้งนี้มีรายงานว่าพฤติกรรมเหล่านี้เพิ่งเกิดขึ้นในช่วงไม่กี่เดือนที่ผ่านมานี้ รวมถึง Malware ตัวนี้ยังมีพฤติกรรมอื่นๆ ดังต่อไปนี้

  • ไม่ว่าจะ Jailbreak iOS มาหรือไม่ Malware ตัวนี้ก็สามารถถูก Download และติดตั้งลงไปได้
  • ถึงแม้จะทำการลบ Malware แบบ Manual มันก็จะกลับมาปรากฎใหม่
  • ถ้าหากใช้ 3rd Party Tool ช่วยตรวจจับ คุณจะพบกับ Systems App แปลกปลอมในเครื่องของคุณ
  • ในเครื่องที่ติด Malware บางครั้งที่เปิดแอพจะพบกับโฆษณาเต็มหน้าแทน

สำหรับ App หลักที่เป็นต้นตอในการแพร่ระบาดของ Malware ตัวนี้ ได้แก่ HYQvod (bundle id: weiying.Wvod) และ DaPian (bundle id: weiying.DaPian) ซึ่งจะทำการ Download แอพที่เอาไว้ทำการโจมตีด้วยวิธีการต่างๆ และการ Download/Install/Uninstall App ชื่อ NoIcon ซึ่ง NoIcon นี้ก็จะทำการ Download แอพอีกสองตัว ได้แก่ ADPage สำหรับทำหน้าที่เปิดโฆษณาเต็มหน้าแทนการเปิดแอพ และ NoIconUpdate โดย Command and Control Server ที่ตรวจสอบพบนี้จะใช้ bb800.com เป็น Domain Name

ทั้งนี้ผู้ต้องสงสัยสำหรับกรณีนี้จากหลักฐานแวดล้อมต่างๆ คือบริษัทที่ชื่อ YingMob Interaction โดยเชื่อว่าการโจมตีครั้งนี้ไม่เกี่ยวข้องกับ XCodeGhost ที่ผ่านมา

 

มีวิธีป้องกันและกำจัดได้แล้ว

Palo Alto Networks ได้ออก Signature สำหรับยับยั้งการเชื่อมต่อไปยัง Command and Control Server แล้ว พร้อมแจ้ง Apple ให้ทำการ Revoke Enterprise Certificate ออกด้วย ส่วนสำหรับผู้ที่สงสัยว่าตัวเองจะติด Malware ตัวนี้ ให้ทำดังนี้

  • เข้าไปที่ Settings > General > Profiles และลบ Profile ที่แปลกปลอมออกให้หมด
  • ลบแอพ “情涩播放器”, “快播私密版” และ “快播0” ออก
  • ใช้ 3rd Party iOS Management Tool เช่น iFunBox ติดตั้งลงบน Windows หรือ Mac แล้วเชื่อมต่อกับอุปกรณ์ iOS Device
  • หาแอพแปลกปลอมที่ปลอมตัวเป็นชื่อว่า Phone, Weather, Game Center, Passbook, Notes หรือ Cydia และลบทิ้ง โดยขั้นตอนนี้จะไม่กระทบกับแอพจริงของระบบ

ทั้งนี้ Palo Alto Networks ได้ออกมาเตือน 2 ประการหลักๆ ในการใช้ iOS ให้ปลอดภัย คือ ไม่โหลด iOS App จากที่แปลกๆ และไม่โหลด iOS App จากนักพัฒนาที่ไม่น่าเชื่อถือ

 

สำหรับผู้ที่สนใจข้อมูลเพิ่มเติม อ่านรายงานฉบับเต็มได้เลยที่ http://researchcenter.paloaltonetworks.com/2015/10/yispecter-first-ios-malware-attacks-non-jailbroken-ios-devices-by-abusing-private-apis/ ครับ รายละเอียดเต็มๆ ครบถ้วนทุกกระบวนท่าของ Malware ตัวนี้เลย



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: อนาคตของ Payment และ Data Security โดย Thales และ Planet Communications Asia

TechTalkThai ขอเรียนเชิญ CTO, CIO, CISO, IT Manager, IT Security Manager, Business Manager, Security Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "อนาคตของ Payment และ Data Security โดย Thales และ Planet Communications Asia" เพื่อทำความรู้จักกับเทคโนโลยีด้าน Payment ที่ใช้งานอยู่ในปัจจุบันและกำลังจะถูกใช้งานในอนาคต พร้อมโซลูชันสำหรับการปกป้องระบบและข้อมูลด้าน Payment ให้มีความมั่นคงปลอดภัย ในวันจันทร์ที่ 3 สิงหาคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

VMware TechTuesday Webinar ภาคภาษาไทย: VMware NSX Advanced Load Balancer

TechTalkThai ขอเรียนเชิญ IT Manager, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง VMware TechTuesday Webinar ภาคภาษาไทย ในหัวข้อเรื่อง "VMware NSX Advanced Load Balancer" เพื่อทำความรู้จักกับความสามารถใหม่ๆ ใน VMware vSAN 7.0 ที่จะช่วยเปลี่ยน Data Center ขององค์กรให้ก้าวสู่การทำ Hybrid Cloud ได้อย่างง่ายดาย บริหารจัดการได้คล่องตัว และปกป้องข้อมูลสำคัญของธุรกิจได้ ในวันอังคารที่ 21 กรกฎาคม 2020 เวลา 10.30 – 12.00 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้