Nie trzeba jailbreaka, ten trojan zarazi także zabezpieczonego iPhone'a czy iPada

Mobilny sprzęt Apple od samego początku przedstawiany jest jakoniezwykle bezpieczny. Cyberprzestępcy mają jednak coraz większedoświadczenie z iOS-em. Opisany właśnie przez badaczy z firmy PaloAlto Networks szkodnik WireLurker jest kolejnym dowodem na to, żebezpieczeństwo systemu z Cupertino to przede wszystkim efekt jegozamknięcia na alternatywne źródła oprogramowania: sam w sobie, iOSłatwo może paść łupem malware.

Nowa era w historii szkodników dla iOS i OS X – takeksperci określają szkodnika, po raz pierwszy zaobserwowanego wczerwcu tego roku przez Qū Chāo, programistę firmy Tencent.Odkrył on wówczas na swoim Maku i iPhonie pliki i procesy nieznanegopochodzenia. Kilka dni później na chińskich forach dyskusyjnychpojawiły się wpisy donoszące o podobnych problemach, nawet nazablokowanych smartfonach i tabletach, gdzie zauważononieautoryzowane biznesowe profile, umożliwiające instalację spozaAppStore. Na liście procesów OS X pojawiały się zaś demony o nazwachmachook_damon czy WatchProc. Autorzy wpisów szybkoodkryli, że mieli ze sobą wspolną jedną rzecz – wszyscykorzystali z Maiyadi, popularnego w Chinach pirackiego sklepu zaplikacjami dla urządzeń z Jabłkiem, pobierając z niego gry iaplikacje na Maka.

Okazało się, że niemal całe dostępne dla Maka oprogramowanie zMaiyadi zostało strojanizowane WireLurkerem. Umieszczony w nichzłośliwy kod nie ograniczał swojego działania tylko do Maków.Zainstalowaniu aplikacji-trojana (hostowanej, co ciekawe nie w samymMaiyadi, lecz w chmurach Baidu i Huawei), towarzyszyła instalacja iuruchomienie systemowych demonów, mających m.in. za zadaniekomunikować się z serwerami dowodzenia i kontroli, nasłuchiwanieportów USB pod kątem podłączonych do nich urządzeń mobilnych isprawdzanie, czy zostały one odblokowane (przeszły jailbreak).

Gdy użytkownik podłączył do zainfekowanego Maka swojego iPhone'aczy iPada, trojan wykorzystywał mechanizm parowania, by odczytaćnumer seryjny urządzenia, numer telefonu, identyfikator Apple ID iadres MAC. Zebrane informacje trafiały na serwer dowodzenia ikontroli. Dalsze działania zależały już od stanu podłączonegourządzenia.

Jeśli iPhone lub iPad miały jailbreaka, WireLurker robił kopięzapasową aplikacji z urządzenia mobilnego na Maka, trojanizował jeswoim kodem, a następnie wgrywał ponownie po protokole iTunes.Dodatkowo wgrywał złośliwy plik poprawkowy przez usługę Apple FileConduit 2, dającą dostęp do całego systemu plików urządzenia.Przypomina to działanie klasycznych wirusów plikowych.

Jeśli urządzenie nie było jednak odbezpieczane, WireLurkerwykorzystywał tryb korporacyjny instalacji oprogramowania (enterpriseprovisioning). Został on pomyślany przez Apple jako sposób nainstalowanie biznesowych aplikacji na urządzeniach pracowników firm,tak by administratorzy nie musieli przechodzić procesu dodawaniatakiej aplikacji do AppStore. Użytkownicy iOS-a widzieli po prostuokno dialogowe z pytanie, czy chcą otworzyć aplikację spoza sklepu.Jeśli wyrazili zgodę, instalowany był cały profil biznesowy, dającWireLurkerowi możliwość zainfekowania zablokowanego iPhone'a czyiPada. Powodu do podejrzeń nie było, aplikacja działała pozornienormalnie.

Do dziś nie wiadomo, co faktycznie WireLurker robił naurządzeniach swoich ofiar oprócz tego, że gromadził informacje. Zanalizy kodu wynika, że potrafił też pobrać bazę kontaktów iwiadomości SMS/ iMessage, przesyłając je na serwer dowodzenia ikontroli. Podejrzewa się, że napastnicy działają bardzo ostrożnie,dopiero przygotowują się do uruchomienia bojowych modułówWireLurkera.

Chińskie sklepy z pirackimi aplikacjami są coraz popularniejsze,także i w Polsce. Nie wiemy, czy ktoś w naszym kraju dał się skusićna zainstalowanie oprogramowania od Hunan Langxiong AdvertisingDecoration Engineering Co., Ltd, ale przecież opracowana przeztwórców WireLurkera metoda ataku nie pozostanie długo tylko ichwłasnością, może być wykorzystana do trojanizacji aplikacji dla Makadostępnych też w innych miejscach. Dlatego użytkownikom sprzętu Applemożemy zalecić jedynie ostrożność i zdrowy rozsądek. Z badańVirusTotal wynika bowiem, że żaden z 55 dostępnych silnikówantywirusowych z WireLurkerem sobie nie poradził.

Zainteresowych zapraszamy do zapoznania się ze szczegółowąanalizą WireLurkera.