Xcode 風(fēng)波剛剛消退，現(xiàn)在美國網(wǎng)絡(luò)安全公司 Palo Alto Network 又公布了一種名為“YiSpecter”惡意病毒，存在相關(guān)惡意代碼的應(yīng)用不僅可以安裝于越獄設(shè)備，未越獄設(shè)備同樣會受到威脅。

什么是 YiSpecter 病毒？

據(jù) Palo Alto Network 介紹，他們將新型病毒命名為“YiSpecter”，它主要針對中國大陸和臺灣地區(qū)的 iOS 用戶，傳播病毒的主要有“HYQvod”和“DaPian”兩款應(yīng)用，中文譯名分別為“快播私密版”和“大片播放器”，導(dǎo)致用戶意外安裝惡意應(yīng)用的方式主要是點擊一些不良網(wǎng)頁中的播放器下載鏈接。

傳播方式？

它們能在獲取系統(tǒng)的企業(yè)應(yīng)用證書后，讓感染設(shè)備繼續(xù)下載并自動安裝其它惡意應(yīng)用，例如 NoIcon、ADPage、NoIconUpdate、C2 Server 等，通過強(qiáng)制更多應(yīng)用顯示指定的宣傳廣告并下載應(yīng)用而獲利。

受感染設(shè)備的主要癥狀？

- 利用第三方檢測工具可以檢測到一些額外的“系統(tǒng)應(yīng)用”，實際上為惡意應(yīng)用偽裝而成

- 被惡意應(yīng)用影響的已裝應(yīng)用會被強(qiáng)制顯示全屏廣告

風(fēng)險？

被感染的 iOS 設(shè)備不僅會繼續(xù)下載安裝更多惡意應(yīng)用，應(yīng)用本身還能利用惡意代碼

- 隱藏桌面圖標(biāo)

- 自動升級

- 監(jiān)測系統(tǒng)行為

- 收集用戶和系統(tǒng)信息

- 強(qiáng)制卸載已存在應(yīng)用

- 改變 Safari 瀏覽器配置

- 偽裝成系統(tǒng)應(yīng)用讓用戶不能輕易卸載，且若卸載不干凈便會重新出現(xiàn)

幕后黑手？

Palo Alto Network 進(jìn)一步解釋稱，YiSpecter 病毒與此前的 Xcode 風(fēng)波沒有聯(lián)系，根據(jù)流量指向推測，幕后黑手很有可能是國內(nèi)一家名為“微贏互動（YingMob Interaction）”的公司，同時“好易蘋果助手（又名‘蜂鳥助手’）”也脫不了干系。目前 Palo Alto Network 已經(jīng)向蘋果方面反饋了 YiSpecter 病毒，后者還未回復(fù)。

解決方法？

為此，Palo Alto Network 建議受 YiSpecter 病毒困擾的用戶

- 進(jìn)入“設(shè)置-通用-描述文件（Profiles）”中移除未知和不受信任的描述文件；

- 移除“情澀播放器”、“快播私密版”、“快播 0”等應(yīng)用；

- 利用 PC 端的第三方檢測工具，連接設(shè)備后查找名字與系統(tǒng)應(yīng)用名相同的應(yīng)用，例如通話、天氣、游戲中心、Cydia 等，刪除它們（這并不會影響到真正的系統(tǒng)應(yīng)用）。