ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳຜູ້ໃຊ້ທົ່ວໄປ

YiSpecter: Malware ໃນ iOS ຕົວ​ທຳອິດ​ທີ່​ແຜ່​ລະ​ບາດ​ໄດ້​ແມ່ນ​ໃນເຄື່ອງ​ທີ່​ບໍ່ Jailbreak ຜ່ານ Private API

ປະ​ເພດ​ໄພ​ຄຸກ​ຄາມ: Intrusion ແລະ Availability

ຂໍ້ມູນທົ່ວໄປ 

ທີມ Unit 42 ແຫ່ງ Palo Alto Networks ໄດ້​ຄົ້ນ​ພົບ Malware ຄວາມ​ຮ້າຍແຮງ​ລະ​ດັບ​ສູງ​ໃນ​ລະບົບ​ປະຕິບັດການ Apple iOS ຊື່ YiSpecter ຊຶ່ງ​ມີ​ຄວາມ​ອັນຕະລາຍ​ຄື​ສາມາດ​ແຜ່​ລະ​ບາດ​ໄດ້​ທັງ​ໃນ iOS ທີ່ Jailbreak ແລະ ​ບໍ່​ໄດ້ Jailbreak ຈາກ​ການ​ໃຊ້ Private API ຂອງ​ລະບົບ​ປະຕິບັດການ iOS ນັ້ນ​ເອງ.

ການ​ໂຈມ​ຕີ​ເທື່ອ​ນີ້​ຖືກ​ກວດ​ພົບ​ເປັນ​ຈຳນວນ​ຫຼາຍ​ໃນ​ປະເທດ​ຈີນ​ແຜ່ນດິນ​ໃຫ່ຍ ແລະ ​ໄຕ້​ຫວັນ ການ​ແຜ່ລະ​ບາດ​ນີ້​ເກີດ​ຂຶ້ນ​ຜ່ານ​ຊ່ອງ​ທາງ​ທີ່​ຫຼາກ​ຫຼາຍ ບໍ່​ວ່າ​ຈະ​ເປັນ​ການ Hijack Traffic ຈາກ ISP, ໃຊ້ SNS Worm ໃນ Windows, ການ​ຕິດ​ຕັ້ງ App ແບບ Offline ແລະ ​ການ​ໂຄສະ​ນາ App ທີ່​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ ໂດຍ​ເຫຍື່ອ​ຫຼາຍ​ລາຍ​ໄດ້​ໂອ້ລົມເວົ້າເຖິງ​ກ່ຽວກັບ​ບັນຫາ​ທີ່ເກິດຂື້ນໃນ iPhone ນີ້​ ໃນ Forum ຫຼາຍໆແຫ່ງ ແລະ​ ລາຍ​ງານ​ໃຫ້ Apple ໄດ້​ຮູ້ ແຕ່​ເຖິງ​ຢ່າງໃດ​ນັ້ນ Malware ຕົວ​ນີ້​ກໍ່​ລະ​ບາດ​ມາ​ເປັນ​ເວລາ​ເກີນ​ກວ່າ 10 ເດືອນ ແລະ​ ຈາກ​ການ​ກວດ​ສອບ​ຄວາມ​ສາມາດ​ໃນ​ການ​ກວດ​ຈັບ​ຂອງ​ຜູ້​ຜະລິດ​ລະບົບ Security ໃນ VirusTotal ເຖິງ 57 ລາຍ​ນັ້ນ ມີ​ຜູ້​ຜະລິດ​ພຽງ​ລາຍ​ດຽວ​ເທົ່າ​ນັ້ນ​ທີ່​ກວດ​ຈັບ YiSpecter ໄດ້​ສຳ​ເລັດ

[Update] ລ່າ​ສຸດ Apple ອອກ​ມາຖະແຫຼງການຮຽບຮ້ອຍ​ແລ້​ວ​ວ່າ iOS 8.4.1 ແລະ iOS 9 ປອດ​ໄພ​ຈາກ Malware ຕົວ​ນີ້

News Images: yispecter.jpg

Credit: ShutterStock.com

YiSpecter ນັ້ນ​ຖືກ​ແບ່ງ​ອອກ​ເປັນ 4 App ຍ່ອຍ​ນຳກັນ ແລະ ແຕ່​ລະ​ແອັບ​ນັ້ນ​ກໍ​່ມີ Enterprise Certificate ທີ່​ຖືກ​ຕ້ອງຢູ່​ດ້ວຍ ໂດຍ​ຈາກ​ການ​ໃຊ້ Private API ໃນ​ການ​ໂຈມ​ຕີ ເຮັດໃຫ້​ແຕ່​ລະ​ແອັບ​ຂອງ YiSpecter ສາມາດ​ Download ແລະ​ ຕິດ​ຕັ້ງ​ແອັບ​ທີ່​ເຫຼືອ​ອີກ 3 ແອັບ​ຈາກ Command & Control Server ໃຫ້​ຄົບ​ໄດ້ ໂດຍ 3 ແອັບ​ໃນ​ນີ້​ສາມາດ​ເຊື່ອງ​ຕົວ​ເອງ​ຈາກ iOS Springboard ໄດ້ ເຮັດໃຫ້​ຜູ້​ໃຊ້​ງານ​ບໍ່​ສາມາດ​ຖອນ​ການ​ຕິດ​ຕັ້ງ​ອອກ​ໄດ້ ໃນ​ຂະນະ​ທີ່​ອີກ 1 ແອັບ​ທີ່​ເຫຼືອ​ນັ້ນ​ຈະ​ປອມ​ໄປ​ໃຊ້​ຊື່​ ແລະ Logo ຂອງ System App ເຮັດໃຫ້​ຜູ້​ໃຊ້​ງານ​ນັ້ນ​ບໍ່​ທັນ​ສັງເກດ.

ຜົນກະທົບ 

ໃນ​ເຄື່ອງ iOS Device ທີ່​ຕິດ YiSpecter ນັ້ນ YiSpecter ຈະ​ສາມາດ​ Download, ຕິດ​ຕັ້ງ ແລະ ​ເອີ້ນ​ໃຊ້​ງານ iOS ແອັບ​ໃດໆກໍ່​ໄດ້​ມາ​ທັບ​ແອັບ​ທີ່​ມີ​ຢູ່​ແລ້ວ​ໃນ​ເຄື່ອງ, ສາມາດ​ Hijack ການເຮັດວຽກງານ​ຂອງ​ແອັບ​ອື່ນໆ ເພື່ອ​ສະແດງ​ໂຄສະ​ນາ​ແທນ, ປ່ຽນ Default Search Engine, Bookmarks ແລະ Page ທີ່​ເປີດ​ໄວ້​ເທິງ Safari ລວມ​ເຖິງ​ອັບ​ໂຫຼດ​ຂໍ້​ມູນ​ເຄື່ອງ​ຂຶ້ນ​ໄປ​ຍັງ Command and Control Server ທັງ​ນີ້​ມີ​ລາຍ​ງານ​ວ່າ​ພຶດຕິກຳ​ເຫຼົ່າ​ນີ້​ຫາກໍ່​ເກີດ​ຂຶ້ນ​ໃນ​ຊ່ວງ​ບໍ່ພໍເທົ່າໃດ​ເດືອນ​ທີ່​ຜ່ານມາ​ນີ້ ລວມ​ເຖິງ Malware ຕົວ​ນີ້​ຍັງມີ​ພຶດຕິກຳ​ອື່ນໆ ດັ່ງ​ຕໍ່ໄປ​ນີ້:

  • ບໍ່​ວ່າ​ຈະ Jailbreak iOS ມາ ​ຫຼື ​ບໍ່ Malware ຕົວ​ນີ້​ກໍໍ່ສາມາດ​ຖືກ Download ແລະ ​ຕິດ​ຕັ້ງ​ລົງ​ໄປ​ໄດ້.
  • ເຖິງແມ່ນ​ຈະລົບ Malware ແບບ Manual ມັນ​ກໍ່​ຈະ​ກັບ​ມາ​ປະກົດ​ໃໝ່.
  • ຖ້າ​ຫາກ​ໃຊ້ 3rd Party Tool ຊ່ວຍ​ກວດ​ຈັບ ເຈົ້າ​ຈະ​ພົບ​ກັບ Systems App ແປກປອມ​ໃນ​ເຄື່ອງ​ຂອງ​ເຈົ້າ.
  • ໃນ​ເຄື່ອງ​ທີ່​ຕິດ Malware ບາງເທື່ອ​ທີ່​ເປີດ​ແອັບ​ຈະ​ພົບ​ກັບ​ໂຄສະ​ນາ​ເຕັມ​ໜ້າ​ແທນ.

ສຳລັບ App ຫຼັກ​ທີ່​ເປັນ​ຕົ້ນ​ຕໍ​ໃນ​ການ​ແຜ່​ລະ​ບາດ​ຂອງ Malware ຕົວ​ນີ້ ໄດ້​ແກ່ HYQvod (bundle id: weiying.Wvod) ແລະ DaPian (bundle id: weiying.DaPian) ຊຶ່ງ​ຈະ​ Download ແອັບ​ທີ່​ເອົາ​ໄວ້​ໂຈມ​ຕີ​ດ້ວຍ​ວິທີ​ການ​ຕ່າງໆ ແລະ ​ການ Download/Install/Uninstall App ຊື່ NoIcon ຊຶ່ງ NoIcon ນີ້​ກໍ່​ຈະ Download ແອັບ​ອີກ​ສອງ​ຕົວ ໄດ້​ແກ່ ADPage ສຳລັບ​ເຮັດ​ຫນ້າທີ່​ເປີດ​ໂຄສະ​ນາ​ເຕັມ​ໜ້າ​ແທນ​ການ​ເປີດ​ແອັບ ແລະ NoIconUpdate ໂດຍ Command and Control Server ທີ່​ກວດ​ສອບ​ພົບ​ນີ້​ຈະ​ໃຊ້ bb800.com ເປັນ Domain Name.

ທັງ​ນີ້​ຜູ້​ຕ້ອງ​ສົງ​ໄສ​ສຳລັບ​ກໍລະນີ​ນີ້​ຈາກ​ຫຼັກຖານ​ແວດ​ລ້ອມ​ຕ່າງໆ ຄື​ບໍລິສັດ​ທີ່​ຊື່ YingMob Interaction ໂດຍ​ເຊື່ອ​ວ່າ​ການ​ໂຈມ​ຕີ​ເທື່ອ​ນີ້​ບໍ່​ກ່ຽວ​ຂ້ອງ​ກັບ XCodeGhost ທີ່​ຜ່ານມາ.

ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ

        ລະບົບ iOS ທຸກເວີຊັ່ນ ຍົກເວັ້ນ iOS 8.4.1 ແລະ iOS 9.

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ 

Palo Alto Networks ໄດ້​ອອກ Signature ສຳລັບ​ຍັບ​ຍັ້ງ​ການ​ເຊື່ອມ​ຕໍ່ໄປ​ຍັງ Command and Control Server ແລ້ວ ພ້ອມ​ແຈ້ງ Apple ໃຫ້ Revoke Enterprise Certificate ອອກ​ດ້ວຍ ສ່ວນ​ສຳລັບ​ຜູ້​ທີ່​ສົງ​ໄສ​ວ່າ​ຕົວ​ເອງ​ຈະ​ຕິດ Malware ຕົວ​ນີ້ ໃຫ້​ເຮັດ​ດັ່ງ​ນີ້.

  • ເຂົ້າໄປ​ທີ່ Settings > General > Profiles ແລະ ​ລຶບ Profile ທີ່​ແປກປອມ​ອອກ​ໃຫ້​ໝົດ.
  • ລົບ​ແອັບ “情涩播放器”, “快播私密版” ແລະ “快播0” ອອກ.
  • ໃຊ້ 3rd Party iOS Management Tool ເຊັ່ນ iFunBox ຕິດ​ຕັ້ງ​ລົງ​ເທິງ Windows ຫຼື Mac ແລ້ວ​ເຊື່ອມ​ຕໍ່​ກັບ​ອຸປະກອນ iOS Device.
  • ຫາ​ແອັບ​ແປກປອມ​ທີ່​ປອມ​ຕົວ​ເປັນ​ຊື່​ວ່າ Phone, Weather, Game Center, Passbook, Notes ຫຼື Cydia ແລະ ​ລຶບ​ຖິ້ມ ໂດຍ​ຂັ້ນ​ຕອນ​ນີ້​ຈະ​ບໍ່​ກະທົບ​ກັບ​ແອັບແທ້ຂອງ​ລະບົບ.

ທັງ​ນີ້ Palo Alto Networks ໄດ້​ອອກ​ມາ​ເຕືອນ 2 ປະ​ການ​ຫລັກໆ ໃນ​ການ​ໃຊ້ iOS ໃຫ້​ປອດ​ໄພ ຄື ບໍ່​ໂຫຼດ iOS App ຈາກ​ທີ່​ແປກໆ ແລະ ​ບໍ່​ໂຫຼດ iOS App ຈາກ​ນັກ​ພັດທະນາ​ທີ່​ບໍ່​ໜ້າ​ເຊື່ອ​ຖື.

ອ້າງອີງ:

  1. https://www.techtalkthai.com/yispecter-first-malware-on-ios-that-can-infect-non-jailbroken-devices-via-api/

ສຳລັບ​ຜູ້​ທີ່​ສົນ​ໃຈ​ຂໍ້​ມູນ​ເພີ່ມເຕີມ ອ່ານ​ລາຍ​ງານ​ສະບັບ​ເຕັມ​ໄດ້​ເລີຍທີ່ http://researchcenter.paloaltonetworks.com/2015/10/yispecter-first-ios-malware-attacks-non-jailbroken-ios-devices-by-abusing-private-apis/