Платформа iOS на протяжении многих лет была хорошо защищена от заражения вредоносным ПО, и злоумышленники, специализирующиеся на мобильных устройствах, фокусировались в основном на Android. Но разработчик одного малоизвестного бота, работающего как под Linux, так и под Windows, выпустил его версию, которая также способна работать под iOS.

Бот Zorenium не относится к числу знаменитых ботов, которые постоянно попадают в новости. Этому боту всего несколько месяцев от роду, и он еще не привлек внимания большого числа исследователей. Его возможности по большей части повторяют возможности других зловредов, включая кражу данных из форм, функциональность трояна-банкера, DDoS и даже майнинг биткоинов. Но что его отличает от всех, так это способность работать под iOS последней версии.

«Недавно наши аналитики отследили продвижение новой угрозы на рынке коммерческого вредоносного ПО — бота Zorenium. Zorenium относительно новый и незнакомый бот, который появился в продаже на черном рынке в январе 2014 года и получил новые функции в обновлении от 18 марта, включая также способность заражать iOS-устройства (версий с 5 по 7), вкупе с имевшимися ранее возможностями работать под Linux и Windows. Также в этом обновлении разработчики обновили руткит до TDL4 (это делает его уязвимым к инструментам анти-TDSS)», — написали Таня Койфман и Ассаф Керен в анализе бота в блоге SenseCy, который ведет израильская компания Terrogence.

Zorenium рекламировался на Pastebin, и первая версия бота была доступна для прямой загрузки  в декабре через ссылку, размещенную в Twitter. Zorenium связан со зловредом Betabot, который использовался в атаках против финансовых институтов и других сайтов начиная с прошлого года. ФБР в сентябре выпустило предупреждение о Betabot, предостерегая пользователей о том, что этот зловред будет маскироваться под диалоговое окно предупреждения системы безопасности Windows.

«Киберпреступники используют Betabot для атак на финансовые институты, сайт электронной торговли, платформы онлайн-платежей и сайты социальных сетей, а также для кражи важных данных, таких как логины и пароли, и финансовой информации. Betabot блокирует доступ пользователя к защитным веб-сайтам и отключает антивирусные программы, делая компьютер уязвимым для компрометации», — говорится в предупреждении ФБР.

«Векторы заражения Betabot включают нелегитимное, но выглядящее достоверно окно сообщения Microsoft Windows, названное User Account Control, которое запрашивает разрешение пользователя на то, чтобы Windows Command Processor изменил настройки компьютера пользователя. Если пользователь соглашается, хакеры получают возможность извлечения данных из его компьютера. Betabot также распространяется посредством USB-флешек или через Skype, перенаправляя пользователей на скомпрометированные веб-сайты», — говорится в предупреждении.

Защитные средства, вертикальная разработка программного обеспечения, инсталляционная модель и средства отражения эксплойтов, встроенные в iOS, делают платформу трудной мишенью для злоумышленников. Имеется небольшой список уязвимостей, позволяющих исполнять код, найденных в iOS различных версий, многие из них были обнаружены членами jailbreak-сообщества. Apple их все исправила, но пользователи, установившие jailbreak на свои устройства, обычно не обновляют их, так как это убирает jailbreak и возвращает операционную систему к изначальному состоянию.

Для того чтобы Zorenium мог работать на iOS-устройстве, ему, скорее всего, требуется jailbreak, если он не использует неизвестную до того уязвимость в операционной системе.

Категории: Вредоносные программы