截至目前的调查结果显示,YiSpecter从10个多月以前就开始传播扩散,主要针对中国大陆和台湾的用户发起攻击。
YiSpecter的组件使用企业用证书来署名,利用私密API从恶意软件控制(C&C)服务器上获取非法功能。
iOS设备感染YiSpecter后,会下载任意iOS APP,并替换现有APP,劫持显示广告的内容,更改“Safari”浏览器的搜索引擎及书签,替换已经打开的网页,还会向服务器发送终端信息。
遭到攻击的用户报告称,无论iPhone是否越狱都会感染YiSpecter,手动删除后,该恶意软件会再次出现。在受到感染的终端上打开普通APP后,有时会全屏显示广告。
据Palo Alto Networks介绍,以前也曾出现过使用企业证书来攻击越狱及非越狱iOS设备的恶意软件,也有研究人员发现了通过恶意使用iOS私密API来植入非法功能的攻击手段,但此次是**在实际用户环境中发现组合使用了以上两种方法的恶意软件。
另外,关于前不久使“App Store”的多个APP感染恶意软件的“XcodeGhost”是否与YiSpecter有关,Palo Alto Networks认为二者没有关系。
《华尔街日报》报道称,Palo Alto Networks已向苹果报告了YiSpecter的问题。Palo Alto Networks主管赖安·奥尔森(Ryan Olson)认为,这是来自中国的移动广告服务的恶意行为。
另据TechCrunch报道,苹果已对该问题作出回应,称容易受到YiSpecter等攻击的漏洞已在“iOS 9”中修复。(特约撰稿人:铃木英子,NEWSFRONT