Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Trojan dla systemu iOS WireLurker: statystyki i nowe informacje

Stefan Tanase
Kaspersky Lab Expert
Dodany 7 listopada 2014, 14:28 CET
Tagi:

Niedawno pojawiły się doniesienia na temat ataku, w którym cyberprzestępcy infekują iPhone’y i użytkowników systemów OS X przy użyciu raczej nietypowego szkodliwego oprogramowania o nazwie WireLurker. Dokładna analiza opublikowana przez Palo Alto Networks jest dostępna tutaj.

Na początek należy zaznaczyć, ze wszyscy użytkownicy produktów firmy Kaspersky Lab są chronieni przed tym zagrożeniem. Szkodliwe pliki wykorzystywane przez WireLurker są identyfikowane przez nasze produkty za pomocą następujących nazw: 

  • OS X:
    • Trojan-Downloader.OSX.WireLurker.a
    • Trojan-Downloader.OSX.WireLurker.b
    • Trojan.OSX.WireLurker.a
  • iOS:
    • Trojan-Spy.IphoneOS.WireLurker.a
    • Trojan-Spy.IphoneOS.WireLurker.b
  • Windows:
    • Trojan.Win32.Wirelurker.a

W lipcu 2014 roku nasze sensory zarejestrowały połączenia ze szkodliwym serwerem kontroli (C&C) zlokalizowanym w Hong Kongu. To samo zaobserwowano w kolejnych miesiącach, chociaż ilość połączeń pozostaje niewielka.   

Co ciekawe, dyskusje na ten temat na różnych forach internetowych (głównie chińskich i koreańskich, ale także w anglojęzycznych zasobach) pojawiły się wcześniej tego roku.  

01_auto.png

14 lipca osoba przedstawiająca się jako SirBlanton narzekała na taki atak w chińskojęzycznym serwisie BBS:

02_auto.png

Skrócone tłumaczenie: Przynajmniej 3 aplikacje dla iPhone’a: Alfred 2.3, Pixelmator 3.2 i Folx GO+ 3.0 zawierają szkodliwy program/trojana.

Przedstawiona rozmowa miała miejsce na serwisie "bbs.maiyadi.com", co jest dość interesujące, ponieważ inna subdomena na "maiyadi.com" jest wykorzystywana przez to szkodliwe oprogramowanie jako centrum kontroli (patrz niżej).

Jeszcze wcześniej, 29 maja, w rozmowie w języku koreańskim wspominano o nietypowym zachowaniu systemu Mac OS X zainfekowanym przez to zagrożenie:

03_auto.png

Co ciekawe, OS X i iOS nie są jedynymi platformami, za pośrednictwem których przeprowadzane są te ataki. Wczoraj nasz kolega Jaime Blasco z Alienvault odkrył szkodliwe narzędzie dla systemu Win32, które wydaje się mieć związek z opisywanym zagrożeniem.

Moduł WireLurkera dla systemu Windows

Nazwa pliku: 万能视频播放器 2.21.exe
md5: fb4756b924c5943cdb73f5aec0cb7b14

04.png

Moduł Win32 WireLurker

Wszystko wskazuje na to, że plik został skompilowany w marcu 2014 roku, zakładając że nie zmieniono sygnatury czasowej: 

05_auto.png

Pełny zestaw metadanych:

06_auto.png

Pierwotna nazwa pliku to "绿色IPA安装器", co po przetłumaczeniu na angielski oznacza Green IPA installer (zielony instalator IPA). Rzekomo jest to aplikacja służąca do instalowania plików IPA na urządzeniach z systemem iOS.

Co ciekawe, zawiera ścieżkę debugowania, które ujawnia informacje dotyczące kompilacji: 

E:\lifei\libimobiledevice-win32-master_last\Release\appinstaller.pdb

Aplikacja zawiera dwa pliki IPA (archiwa aplikacji Apple), jeden o nazwie "AVPlayer", drugi - "apps".

AVPlayer.app wydaje się być legalną wersją aplikacji dla systemu iOS, wykorzystywaną przez przestępców jako przynęta.

Poniżej prezentujemy ikonkę tej aplikacji:

07.png

“Legalna” aplikacja została najprawdopodobniej stworzona przez popularnego developera o nazwie "teiron@25pp.com".

08.png

Druga jest bardziej interesująca:

09_auto.png

Została prawdopodobnie stworzona w marcu 2014 roku.

"apps" komunikuje się z dobrze znanym "comeinbaby[.]com":

10_auto.png

Część sfbase.dylib komunikuje się z innym centrum kontroli (C&C):

11_auto.png

Podsumowując, opisana tu aplikacja dla systemu Win32 pozwala na zainstalowanie wspomnianej wcześniej szkodliwej funkcji dla systemu iOS na atakowany iPhone. Została najprawdopodobniej stworzona po to, aby użytkownicy systemu Windows również zostali zainfekowani poprzez swoje urządzenia z systemem iOS.   

Wnioski

Incydent ten stanowi kolejną przestrogę przed korzystaniem z nielegalnego oprogramowania, które jest niebezpieczne niezależnie od wykorzystywanej platformy. Pobieranie aplikacji z nieoficjalnych źródeł, takich jak alternatywne sklepy, serwisy współdzielenia plików czy torrenty i inne sieci współdzielenia plików P2P, zwiększa ryzyko infekcji szkodliwym oprogramowaniem. W przypadku systemu OS X jest to jeden z głównych wektorów infekcji.   

Nie można lekceważyć konieczności stosowania ochrony przed szkodliwym oprogramowaniem na urządzeniach z systemem OS X. Zainfekowany może zostać nie tylko komputer - WireLuker udowodnił, że infekcja może przenieść się z Maka na iPhone’a. Dobra wiadomość jest taka, że użytkownicy mogą wybierać spośród wielu rozwiązań bezpieczeństwa. Jednym z nich jest nasz produkt Kaspersky Internet Security for Mac.      

W ramach pierwszej linii obrony użytkownicy systemu OS X powinni sprawdzić ustawienia Bezpieczeństwa i prywatności, aby mieć pewność, że konfiguracja ich systemu jest optymalna – zalecamy ustawienia, które pozwalają na instalowanie wyłącznie aplikacji pobieranych ze sklepu Mac App Store i od oficjalnych dostawców.

Zapoznaj się również z naszym przewodnikiem dotyczącym bezpieczeństwa: 10 prostych wskazówek pozwalających zwiększyć bezpieczeństwo twojego Maka.

Opisywany incydent powinien również stanowić dzwonek ostrzegawczy dla użytkowników produktów firmy Apple, podważając ich sposób myślenia o bezpieczeństwie. Podobnie jak kiedyś szkodliwe oprogramowanie dla systemu OS X szybko przestało być postrzegane jako mit i zaczęło stanowić smutną rzeczywistość, system iOS staje się ostatnio coraz częstszym celem ataków, przy czym nikt nie jest w stanie zapewnić ochrony dla tej platformy. Twórcy rozwiązań do ochrony przed szkodliwym oprogramowaniem nadal nie mogą rozwijać ochrony przeznaczonej dla użytkowników iPhonów.        

Czy w świetle ostatnich wydarzeń strategia ta ulegnie zmianie w najbliższej przyszłości?

Oznaki infekcji:

C&C:
app.maiyadi[.]com
comeinbaby[.]com
61.147.80.73
124.248.245.78

MD5:

3fa4e5fec53dfc9fc88ced651aa858c6
5b43df4fac4cac52412126a6c604853c
88025c70d8d9cd14c00a66d3f3e07a84
9037cf29ed485dae11e22955724a00e7
a3ce6c8166eec5ae8ea059a7d49b5669
aa6fe189baa355a65e6aafac1e765f41
bc3aa0142fb15ea65de7833d65a70e36
c4264b9607a68de8b9bbbe30436f5f28
c6d95a37ba39c0fa6688d12b4260ee7d
c9841e34da270d94b35ae3f724160d5e
dca13b4ff64bcd6876c13bbb4a22f450
e03402006332a6e17c36e569178d2097
fb4756b924c5943cdb73f5aec0cb7b14