iOSを狙う新たなマルウェア、削除しようとしても"復活" - パロアルトN

プライベートAPIを悪用し、コマンドアンドコントロール(C2)サーバからこれらコンポーネントを互いにダウンロードおよびインストールする。悪質なコンポーネントのうち3つは、ユーザーにより発見されて削除されることを防ぐため、iOSのSpringBoardからアイコンを非表示にするよう細工している。コンポーネントはiOSの上級ユーザーを偽るために、システムアプリと同じ名前とロゴを使用している。

YiSpecterはiOS端末に感染することで、端末内で以下のことが実行できる。

任意のiOSアプリをダウンロード、インストール、起動
ダウンロードしたアプリへの既存アプリを置き換え
広告表示のため他のアプリ実行をハイジャック
Safariのデフォルトの検索エンジン、ブックマーク、開いたページの変更
C2サーバーへの端末情報のアップロード
ユーザーが通常のアプリを開くとフルスクリーン広告を表示

ユーザーは、サードパーティのツールを使用することで、感染した端末上で追加された不審な「システムアプリ」を見つけることが可能だが、一度YiSpecterをインストールしてしまうと、手動でマルウェアを削除しようとしても自動的に復活してしまう。