Китайский вирус WireLurker поразил сотни тысяч устройств Apple

5 ноября исследователи из компании Palo Alto Networks опубликовали аналитический отчёт, сообщив об угрозе распространения нового вируса для устройств Apple. По словам исследователей, вирус под названием WireLurker («блуждающий по проводам») обозначил новую эру атак на операционные системы от Apple.

Поделиться

Вирус поражает как настольную операционную систему Mac OS X, так и мобильные устройства под управлением iOS. Целое семейство различных вредоносных приложений распространялось таким образом последние шесть месяцев.

Компьютеры заражаются через приложения на OS X со встроенным трояном. WireLurker обнаружили в 467 программах в китайском магазине нелегальных приложений Maiyadi App Store, и в итоге он был скачан по меньшей мере 356 тысяч раз. По оценкам Palo Alto Networks, вирус мог оказаться на устройствах сотен тысяч пользователей.

По словам исследователей, WireLurker стал вторым за историю вирусом, который умеет заражать устройства на iOS с компьютеров на OS X через кабель USB. Однако во многом вирус оказался первопроходцем: впервые он научился самостоятельно генерировать новые зараженные приложения на OS X, контролировать iOS подобно обычному компьютерному вирусу, а также устанавливать сторонние приложения на мобильные устройства даже в том случае, если на устройстве не был сделан джейлбрейк.

Если iOS-устройство подключить по USB-кабелю к заражённому компьютеру на OS X, вирус начнёт установку на устройство сторонних программ или автоматически сгенерированных заражённых приложений. Даже при отсутствии джейлбрейка это оказалось возможным благодаря сервису распределения корпоративного ПО.

WireLurker подписывает свои приложения сертификатом других корпораций для маскировки, однако не может начать действовать автоматически. В первый раз он запрашивает подтверждение на установку стороннего ПО через специальный сертификат (на скриншоте), однако пользователь должен подтвердить своё желание — обычно люди не подозревают здесь обмана, так как приложение работает так же, как и его легальная версия, отмечают в Palo Alto Networks.

WireLurker позволяет красть целый спектр различных персональных данных пользователей и регулярно получает указания с центрального сервера производящих атаку хакеров, а также умеет удалённо обновлять самого себя. Например, вирус целиком загружает базы записной книжки и SMS на удалённый сервер. Однако это вредоносное ПО всё ещё находится на стадии активной разработки, и конечная цель злоумышленников неясна.

Пока что исследователи обнаружили возможность вируса встраиваться в системные процессы iOS: например, WireLurker умеет сбрасывать приложения браузера Safari, сообщений и телефона по нажатию кнопки Home. Один из проанализированных методов вируса свидетельствует о том, что его создатели работают над открытием обозначенных ими веб-страниц в фоновом режиме, когда пользователь этого не видит.

Впервые о вирусе стало известно 1 июня 2014 года от одного из разработчиков китайской компании Tencent. Он обнаружил на своём компьютере Mac и iPhone подозрительные процессы и приложения. 

Затем обсуждение перекочевало на форумы китайских разработчиков: часть из них тоже сообщила о странных процессах, неизвестно откуда взявшихся приложениях и подменённых профилях установки корпоративного ПО на iPhone. Некоторые из разработчиков признались, что недавно скачивали приложения из Maiyadi App Store.

По данным исследователей из Palo Alto Networks, практически все приложения для Mac из Maiyadi App Store оказались заражёнными. Среди самых популярных скачиваемых программ оказались игры Sims 3, Pro Evolution Soccer 2014 и Angry Birds.

Palo Alto Networks опубликовали целый список советов для противодействия вирусу WireLurker. Компаниям, распределяющим ПО, необходимо пропускать свой мобильный трафик через специальные системы предотвращения несанкционированного доступа вроде GlobalProtect, а пользователям Mac OS X — устанавливать антивирусы и держать вирусные базы обновлёнными. Аналитики порекомендовали не устанавливать на компьютеры стороннее программное обеспечение из неизвестных источников, а пользователям iOS посоветовали не подтверждать использование неизвестных сертификатов, если ими не занимается IT-специалист.

Помимо этого, пользователям iOS порекомендовали не устанавливать джейлбрейк (он расширяет список вредоносных программ) и не использовать подозрительные зарядные устройства сторонних производителей. Поскольку вирус передаётся через USB, осторожнее следует относиться и к подключению iOS-устройств к чужим компьютерам.

В комментарии изданию TechCrunch представители Apple заявили, что заблокировали запуск указанных в отчёте вредоносных приложений, и порекомендовали пользователям устанавливать приложения из проверенных источников.

Поделиться

Нашли опечатку? Выделите фрагмент и отправьте нажатием Ctrl+Enter.

3 лучших комментария

> не использовать подозрительные зарядные устройства
И не вставлять их в подозрительные розетки.

10

Ох, Китай — это прямо дичь какая то!

8

Очередной вирус, который нужно устанавливать... соглашаться с запуском не подписанного приложения, соглашаться с использованием левого сертификата. Когда уже они научатся запускаться сами?

8
52 комментария доступны только владельцам аккаунта TJ+
Наверх