Wirelurker: новая эпоха троянов для iOS и OS X

Рекомендуем почитать:

Xakep #299. Sysmon

Китайский троян Wirelurker поражает персональные компьютеры под OS X, а затем (по USB) — и мобильные телефоны iPhone с планшетами iPad. По мнению специалистов из компании Palo Alto Networks, которые обнаружили семейство зловредов, это представители «новой эпохи malware».

Вот характеристики, которые позволяют говорить о новой эпохе вредоносных программ для компьютеров и мобильных устройств Apple.

Wirelurker — самый распространённый зловред для компьютеров/смартфонов Apple, использующий заражённые/перепакованные приложения OS X.
Это всего лишь второй из известных троянов, который атакует устройства iOS через OS X по USB.
Это первый зловред, который автоматически генерирует приложения iOS, используя замену бинарных файлов.
Это первый известный зловред, который может заражать установленные приложения iOS, словно вирус традиционного типа.
Это первый реально используемый зловред, устанавливающий сторонние приложения на устройства iOS, которые ранее не подвергались джейлбрейку.

Wirelurker использовали для заражения 467 приложений в китайском каталоге приложений Maiyadi App Store. За последние полгода эти приложения скачали 356 104 раза, так что троян, вероятно, установился на сотни тысяч компьютеров и мобильных устройств.

Троян отслеживает все устройства, которые подключаются по USB к заражённому компьютеру OS X. При подключении гаджета iOS он устанавливает на него стороннее приложение либо сам генерирует вредоносное приложение. Это зависит от того, джейлбрейкнут смартфон/планшет или нет.

Wirelurker обладает сложной структурой кода с обфускацией, многочисленными компонентами с поддержкой версий, способностью прятать файлы, а также использует хитрую самодельную схему шифрования, чтобы избежать реверс-инжиниринга. Более подробно о структуре этого трояна специалисты Palo Alto Networks рассказывают в специальном отчёте.

Троян собирает с мобильного устройства различную информацию и отправляет на удалённый сервер. Специалистам не понятны истинные цели злоумышленника.

Программа для поиска установленного Wirelurker на компьютере опубликована на Github.

Wirelurker: новая эпоха троянов для iOS и OS X

Xakep #299. Sysmon

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Картинки в водопаде. Учимся рисовать изображения радиоволнами

Agent Tesla. Учимся реверсить боевую малварь в Ghidra

HTB Surveillance. Эксплуатируем инъекцию команд через скрипт ZoneMinder

Как работает EDR. Подробно разбираем механизмы антивирусной защиты

Трюки

Липовый соникс. Реверсим картридж Liposonix и пишем его эмулятор

Новая диета для Linux. Загружаем современный Linux, используя минимум памяти

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Последние новости

Умный телевизор Hisense случайно вывел из строя Windows-компьютер владельца

Количество атак на мобильные устройства в России возросло в 5,2 раза

Microsoft: ATP28 эксплуатировала баг в Windows Print Spooler несколько лет

Малварь GuptiMiner распространялась через обновления антивируса eScan

Открыта регистрация на соревнования Киберколизей