Китайский троян Wirelurker поражает персональные компьютеры под OS X, а затем (по USB) — и мобильные телефоны iPhone с планшетами iPad. По мнению специалистов из компании Palo Alto Networks, которые обнаружили семейство зловредов, это представители «новой эпохи malware».

Вот характеристики, которые позволяют говорить о новой эпохе вредоносных программ для компьютеров и мобильных устройств Apple.

  • Wirelurker — самый распространённый зловред для компьютеров/смартфонов Apple, использующий заражённые/перепакованные приложения OS X.
  • Это всего лишь второй из известных троянов, который атакует устройства iOS через OS X по USB.
  • Это первый зловред, который автоматически генерирует приложения iOS, используя замену бинарных файлов.
  • Это первый известный зловред, который может заражать установленные приложения iOS, словно вирус традиционного типа.
  • Это первый реально используемый зловред, устанавливающий сторонние приложения на устройства iOS, которые ранее не подвергались джейлбрейку.

Wirelurker использовали для заражения 467 приложений в китайском каталоге приложений Maiyadi App Store. За последние полгода эти приложения скачали 356 104 раза, так что троян, вероятно, установился на сотни тысяч компьютеров и мобильных устройств.

Троян отслеживает все устройства, которые подключаются по USB к заражённому компьютеру OS X. При подключении гаджета iOS он устанавливает на него стороннее приложение либо сам генерирует вредоносное приложение. Это зависит от того, джейлбрейкнут смартфон/планшет или нет.

Wirelurker обладает сложной структурой кода с обфускацией, многочисленными компонентами с поддержкой версий, способностью прятать файлы, а также использует хитрую самодельную схему шифрования, чтобы избежать реверс-инжиниринга. Более подробно о структуре этого трояна специалисты Palo Alto Networks рассказывают в специальном отчёте.

Троян собирает с мобильного устройства различную информацию и отправляет на удалённый сервер. Специалистам не понятны истинные цели злоумышленника.

Программа для поиска установленного Wirelurker на компьютере опубликована на Github.

12 комментария

  1. 07.11.2014 at 17:32

    Мммммм… Какая прелесть. От вас я такого не ожидал. А ничего, что при установке поддельного приложения на iOS устройство, требуется подтверждение? Если на устройстве нет джейла, конечно. Нет, я понимаю, что идиотов полно, которые тыкают на «Подтвердить» даже не читая, но все же? В общем очередная шумиха на пустом месте.

    • 07.11.2014 at 17:55

      Да как сказать… дырявая Винда, чуть менее дырявая OS X, а результат-то один.

      • 07.11.2014 at 18:06

        «Чуть менее»? Это вы по количеству вирусов судите? На OS X уже года четыре. И как то ни разу еще не поймал даже захудалого троянчика. Случайность? 🙂 А если вы начнете говорить, что «винда более распространена», то могу вас обрадовать: на пользователях OS X можно срубить много больше деньжат, т.к. они побогаче, в общем. Не думаю, что кто-то откажется от такого куска пирога. Не находите?

        • 07.11.2014 at 20:40

          На OS X уже года четыре. И как то ни разу еще не поймал даже захудалого троянчика. Случайность?

          Откуда ты сидя на заднице знать можешь, заражён твой mac или нет, чтоб так уверенно заявлять тут что на нём всё чисто? Тебе дяденьки из эппл это лично пообещали?

          могу вас обрадовать: на пользователях OS X можно срубить много больше деньжат, т.к. они побогаче, в общем

          Золотой телёночек, давно уже мечтаешь кайф словить, когда же тебя наконец за вымя подёргают?

          • 07.11.2014 at 20:50

            1. Да нет, слежу за тем, чем мой Mac занимается. 2. Подергай, умник. 🙂

            • 07.11.2014 at 21:17

              Во-во. Типичный яблочник.

              Подергай, умник. 🙂

              Чел, ты что? Реально хотел бы? Да?

              • 07.11.2014 at 21:22

                Достали пустобрехи. «Я тебя взломаю!», ну дык давай, в чем проблема? 🙂 Кишка тонка, как обычно…

                • 07.11.2014 at 21:57

                  Как интересно. Не нервничайте. Лучше расслабьтесь, прилягте. Давайте с Вами разберёмся.

                  Достали пустобрехи. «Я тебя взломаю!»

                  Из Ваших откровений следует, что Вам угрожали. Возможно даже в раннем возрасте. Это так тяжело легло Вам на психику, что повлияло на ориентацию, а заодно Вы примкнули к яблофагам?

                  • 07.11.2014 at 22:44

                    Если Ваш уровень развития не позволяет взглянуть на комментарии выше и увидеть там угрозу, то мне Вас жаль. И да, где Вы услышали, что люди рождаются с гомосексуальной ориентацией, а потом, в следствии душевных потрясений становятся нормальными, гетеросексуальными? В гейклубе? Так послушайте моего совета, перестаньте посещать подобные места. А то еще каких «умных» мыслей поэахватаетесь. 🙂

                    • 08.11.2014 at 15:00

                      Вот объясните странную вещь, зачем вы, эпплфаги, когда дело касается вирусов и вашей обожаемой техники, закономерно всякий раз сваливаете обсуждение в тему оффтопосексуализма?

                    • 08.11.2014 at 15:15

                      Хм, похоже у Вас раздвоение личности, да еще в добавок вторая личность не особо внимательная… Тему ориентации не я завел. 🙂

  2. 10.11.2014 at 14:30

    Да у меня и на венде вирусов нет… Главный антивирус находится между ушами, если кто не знал.

Оставить мнение