r   e   k   l   a   m   a
r   e   k   l   a   m   a

Nie trzeba jailbreaka, ten trojan zarazi także zabezpieczonego iPhone'a czy iPada

Strona główna AktualnościOPROGRAMOWANIE

Mobilny sprzęt Apple od samego początku przedstawiany jest jako niezwykle bezpieczny. Cyberprzestępcy mają jednak coraz większe doświadczenie z iOS-em. Opisany właśnie przez badaczy z firmy Palo Alto Networks szkodnik WireLurker jest kolejnym dowodem na to, że bezpieczeństwo systemu z Cupertino to przede wszystkim efekt jego zamknięcia na alternatywne źródła oprogramowania: sam w sobie, iOS łatwo może paść łupem malware.

Nowa era w historii szkodników dla iOS i OS X – tak eksperci określają szkodnika, po raz pierwszy zaobserwowanego w czerwcu tego roku przez Qū Chāo, programistę firmy Tencent. Odkrył on wówczas na swoim Maku i iPhonie pliki i procesy nieznanego pochodzenia. Kilka dni później na chińskich forach dyskusyjnych pojawiły się wpisy donoszące o podobnych problemach, nawet na zablokowanych smartfonach i tabletach, gdzie zauważono nieautoryzowane biznesowe profile, umożliwiające instalację spoza AppStore. Na liście procesów OS X pojawiały się zaś demony o nazwach machook_damon czy WatchProc. Autorzy wpisów szybko odkryli, że mieli ze sobą wspolną jedną rzecz – wszyscy korzystali z Maiyadi, popularnego w Chinach pirackiego sklepu z aplikacjami dla urządzeń z Jabłkiem, pobierając z niego gry i aplikacje na Maka.

Okazało się, że niemal całe dostępne dla Maka oprogramowanie z Maiyadi zostało strojanizowane WireLurkerem. Umieszczony w nich złośliwy kod nie ograniczał swojego działania tylko do Maków. Zainstalowaniu aplikacji-trojana (hostowanej, co ciekawe nie w samym Maiyadi, lecz w chmurach Baidu i Huawei), towarzyszyła instalacja i uruchomienie systemowych demonów, mających m.in. za zadanie komunikować się z serwerami dowodzenia i kontroli, nasłuchiwanie portów USB pod kątem podłączonych do nich urządzeń mobilnych i sprawdzanie, czy zostały one odblokowane (przeszły jailbreak).

r   e   k   l   a   m   a

Gdy użytkownik podłączył do zainfekowanego Maka swojego iPhone'a czy iPada, trojan wykorzystywał mechanizm parowania, by odczytać numer seryjny urządzenia, numer telefonu, identyfikator Apple ID i adres MAC. Zebrane informacje trafiały na serwer dowodzenia i kontroli. Dalsze działania zależały już od stanu podłączonego urządzenia.

Jeśli iPhone lub iPad miały jailbreaka, WireLurker robił kopię zapasową aplikacji z urządzenia mobilnego na Maka, trojanizował je swoim kodem, a następnie wgrywał ponownie po protokole iTunes. Dodatkowo wgrywał złośliwy plik poprawkowy przez usługę Apple File Conduit 2, dającą dostęp do całego systemu plików urządzenia. Przypomina to działanie klasycznych wirusów plikowych.

Jeśli urządzenie nie było jednak odbezpieczane, WireLurker wykorzystywał tryb korporacyjny instalacji oprogramowania (enterprise provisioning). Został on pomyślany przez Apple jako sposób na instalowanie biznesowych aplikacji na urządzeniach pracowników firm, tak by administratorzy nie musieli przechodzić procesu dodawania takiej aplikacji do AppStore. Użytkownicy iOS-a widzieli po prostu okno dialogowe z pytanie, czy chcą otworzyć aplikację spoza sklepu. Jeśli wyrazili zgodę, instalowany był cały profil biznesowy, dając WireLurkerowi możliwość zainfekowania zablokowanego iPhone'a czy iPada. Powodu do podejrzeń nie było, aplikacja działała pozornie normalnie.

Do dziś nie wiadomo, co faktycznie WireLurker robił na urządzeniach swoich ofiar oprócz tego, że gromadził informacje. Z analizy kodu wynika, że potrafił też pobrać bazę kontaktów i wiadomości SMS/ iMessage, przesyłając je na serwer dowodzenia i kontroli. Podejrzewa się, że napastnicy działają bardzo ostrożnie, dopiero przygotowują się do uruchomienia bojowych modułów WireLurkera.

Chińskie sklepy z pirackimi aplikacjami są coraz popularniejsze, także i w Polsce. Nie wiemy, czy ktoś w naszym kraju dał się skusić na zainstalowanie oprogramowania od Hunan Langxiong Advertising Decoration Engineering Co., Ltd, ale przecież opracowana przez twórców WireLurkera metoda ataku nie pozostanie długo tylko ich własnością, może być wykorzystana do trojanizacji aplikacji dla Maka dostępnych też w innych miejscach. Dlatego użytkownikom sprzętu Apple możemy zalecić jedynie ostrożność i zdrowy rozsądek. Z badań VirusTotal wynika bowiem, że żaden z 55 dostępnych silników antywirusowych z WireLurkerem sobie nie poradził.

Zainteresowych zapraszamy do zapoznania się ze szczegółową analizą WireLurkera.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.