Xakep #305. Многошаговые SQL-инъекции
Китайский троян Wirelurker поражает персональные компьютеры под OS X, а затем (по USB) — и мобильные телефоны iPhone с планшетами iPad. По мнению специалистов из компании Palo Alto Networks, которые обнаружили семейство зловредов, это представители «новой эпохи malware».
Вот характеристики, которые позволяют говорить о новой эпохе вредоносных программ для компьютеров и мобильных устройств Apple.
- Wirelurker — самый распространённый зловред для компьютеров/смартфонов Apple, использующий заражённые/перепакованные приложения OS X.
- Это всего лишь второй из известных троянов, который атакует устройства iOS через OS X по USB.
- Это первый зловред, который автоматически генерирует приложения iOS, используя замену бинарных файлов.
- Это первый известный зловред, который может заражать установленные приложения iOS, словно вирус традиционного типа.
- Это первый реально используемый зловред, устанавливающий сторонние приложения на устройства iOS, которые ранее не подвергались джейлбрейку.
Wirelurker использовали для заражения 467 приложений в китайском каталоге приложений Maiyadi App Store. За последние полгода эти приложения скачали 356 104 раза, так что троян, вероятно, установился на сотни тысяч компьютеров и мобильных устройств.
Троян отслеживает все устройства, которые подключаются по USB к заражённому компьютеру OS X. При подключении гаджета iOS он устанавливает на него стороннее приложение либо сам генерирует вредоносное приложение. Это зависит от того, джейлбрейкнут смартфон/планшет или нет.
Wirelurker обладает сложной структурой кода с обфускацией, многочисленными компонентами с поддержкой версий, способностью прятать файлы, а также использует хитрую самодельную схему шифрования, чтобы избежать реверс-инжиниринга. Более подробно о структуре этого трояна специалисты Palo Alto Networks рассказывают в специальном отчёте.
Троян собирает с мобильного устройства различную информацию и отправляет на удалённый сервер. Специалистам не понятны истинные цели злоумышленника.
Программа для поиска установленного Wirelurker на компьютере опубликована на Github.