Вслед за сенсационной вестью об обнаружении семейства ориентированных на Mac OS X зловредов, способных заражать iOS-устройства, появилось новое сообщение: гроза миновала. Представители ИБ-компании Palo Alto Networks подтвердили блокировку командной инфраструктуры WireLurker, а Apple отозвала цифровой сертификат, который злоумышленники использовали для подписания вредоносного кода, чтобы упростить его загрузку на залоченные iPhone и iPad.

«WireLurker больше нет, — заявил Райан Олсон (Ryan Olson), глава информационной службы Palo Alto. — Данная атака примечательна тем, что в ней впервые опробована новая технология, которая оказалась весьма эффективной». Конечная цель атак с использованием WireLurker, ограниченных территорией Китая, неизвестна, хотя этот зловред умеет воровать системную и пользовательскую информацию с мобильных устройств. Притом пароли к учетным записям и банковские реквизиты его не интересуют.

По свидетельству исследователей, WireLurker атакует устройство на iOS при его подключении к USB зараженного компьютера. Зловред просматривает содержимое гаджета, стараясь отыскать популярные в Китае приложения: обработчик фото Meitu, программу для шопинга на Taobao или клиент платежного сервиса AliPay. Если искомая программа найдена, WireLurker заменяет ее троянизированным аналогом. Распространителем этих репаков оказался китайский интернет-магазин Maiyadi, известный хостер пиратских копий программ для OS X и iOS. Эксперты обнаружили в его каталоге 467 зараженных приложений, которые по состоянию на 16 октября скачали более 100 тыс. пользователей, осуществив в общей сложности свыше 350 тыс. загрузок.

Palo Alto наблюдает WireLurker с 1 июня и за истекший период зафиксировала три его версии. Исследователи особо отметили способность данного зловреда атаковать залоченные iOS-устройства: дело в том, что устанавливаемые WireLurker троянские версии популярных программ подписаны вполне легальным сертификатом. Последний принадлежит китайской компании, законному участнику запущенной Apple программы корпоративных разработок для iOS, и был, по всей видимости, просто украден. На настоящий момент этот сертификат уже отозван.

Как удалось установить, сам зловред раздается не с серверов Maiyadi, а из облачных хранилищ Huawei и Baidu. При активации он вначале загружает ряд исполняемых модулей, библиотеки и конфигурационные файлы. На зараженном устройстве постоянно запущены два процесса: один поддерживает связь с C&C-сервером и проверяет наличие обновлений, другой мониторит USB-подключения и определяет статус мобильного устройства в отношении джейлбрейка, пытаясь использовать для этого сервис AFC (Apple File Conduit), который открывает root-доступ к устройству.

Palo Alto обнаружила лишь один командный сервер WireLurker, в Гонконге; он раздает обновления и iOS-приложения, обрабатывает отчеты о статусе резидентных зловредов и принимает краденые данные с обеих атакуемых платформ. Более ранние версии WireLurker ведут обмен с C&C открытым текстом, третья версия применяет кастомизированное шифрование.

«Скорее всего, это детище талантливой группы разработчиков для Mac и iOS, у которых, похоже, мало опыта в написании вредоносного ПО и защите его от обнаружения, — полагает Олсон. — В данном случае проба пера оказалась удачной. Их мотивы пока непонятны, но, возможно, нам все же удастся прояснить этот вопрос».

Категории: Вредоносные программы, Главное