Поскольку большинство владельцев iPhone обновляют свои устройства на Windows-машинах, известие об обнаружении Windows-версии WireLurker не явилось большим сюрпризом. На прошлой неделе исследователь из AlienVault Хайме Бласко (Jaime Blasco) поведал твиттерянам о своей находке, оказавшейся на поверку более давней разработкой, чем версия для Mac OS X, о которой в начале ноября сообщила Palo Alto Networks.

К счастью, Windows-вариант WireLurker, как и его собрат, атакующий платформу Apple, по большей части бездействует, так как подключается к тому же C&C, что и версия для Mac OS X, а этот сервер на настоящий момент отключен.

Тем не менее глава информационной службы Palo Alto Райан Олсон (Ryan Olson) отметил, что URL, который использует для обновления более ранний iOS-компонент WireLurker, активен и привязан к веб-серверу китайского магазина приложений Maiyadi. Последний хорошо известен как хостер пиратских копий программ для Mac OS X и iOS; эксперты Palo Alto обнаружили в его каталоге 467 зараженных WireLurker приложений, которые в общей сложности были скачаны более 356 тыс. раз.

По словам Олсона, iOS-устройство, зараженное одной из прежних версий WireLurker, коих обнаружено три, запрашивает обновление с http[:]//app[.]maiyadi[.]com/app/getversion.php и получает следующий ответ:

{«result»:{«version»:»4.0.2″,»url»:»http:\/\/www[.]comeinbaby[.]com\/app\/v4002\/sfbase.dylib»}}

«Это команда на загрузку обновленного бинарника с (отключенного) сервера www[.]comeinbaby[.]com, — поясняет Олсон. — Не исключено, что атакующие со временем исправят этот ответ с тем, чтобы некоторые из зараженных устройств смогли получать обновления с другого сервера. Маловероятно, что те устройства, которые еще позавчера подавали такой запрос, уже успели обновиться до версии 4.0.2, управляемой с отключенного сервера».

Эксперт Palo Alto Клод Сяо (Claud Xiao), проводивший также анализ версии WireLurker для Mac OS X, отметил, что из-за наличия ошибок в коде Windows-клона тот не столь эффективен, как его собрат. WireLurker для Windows датирован 13 марта и хостится на другом китайском сайте; в настоящее время на этом ресурсе размещены 180 исполняемых файлов Windows и 67 приложений для OS X, зараженных WireLurker. По свидетельству Сяо, эти программы были скачаны 65 тыс. раз и в 98% случаев содержали Windows-версию зловреда, один из компонентов которой пытается атаковать разлоченные iOS-устройства.

Windows-сэмплы были загружены в публичное облачное хранилище Baidu тем же пользователем, который днем раньше, 12 марта, поместил туда версию WireLurker для OS X. Все ориентированные на Windows образцы были помечены как Green, то есть чистые версии IPA-инсталляторов пиратских приложений для iOS, в том числе Facebook, Instagram, Minecraft, а также обычно предустановленных iPhoto, iMovie и iBooks.

По словам Сяо, Windows-версия WireLurker содержит PE-файл с двумя iOS-приложениями: вредоносным apps.ipa и third.ipa — пиратской копией популярной программы. При запуске исполняемого файла пользователю выводится GUI-сообщение с просьбой подключить iOS-устройство через USB. Зловред проверяет наличие iTunes и при отрицательном результате направляет жертву на официальный сайт китайского филиала Apple.

Исследователи протестировали новую находку, используя iPhone 5S с разлоченной iOS 7.1 и iPad третьего поколения с разлоченной iOS 6. Оказалось, что вредоносный код работает со сбоями. «На iPhone 5s/iOS 7.1 нажатие соответствующей кнопки вызвало крэш инсталлятора, — рассказывает Сяо. — На iPad появилось сообщение, что установка прошла успешно, однако никаких новых иконок на дисплее мы не обнаружили. По всей видимости, причиной этих отказов является низкое качество кода и несовместимость с iOS-устройством, хотя попытки инсталляции мы зафиксировали».

Исследователи обнаружили также некоторые свидетельства, позволяющие заключить, что обе версии WireLurker были созданы одним и тем же автором. По словам Сяо, на это указывают сходство данных сертификата, используемого для подписания iOS-зловреда, идентификаторов комплекта и тот факт, что гарантом авторских прав в обоих случаях является Maiyadi.

Заметим, что антивирусные продукты «Лаборатории Касперского» детектируют данного зловреда с вердиктами Trojan.OSX.WireLurker, Trojan-Spy.IphoneOS.WireLurker и Trojan.Win32.Wirelurker.

Категории: Вредоносные программы, Главное