Недавно появились сообщения об атаках на пользователей iPhone и MacOS X при помощи довольно необычной вредоносной программы, которая получила название WireLurker. Подробное исследование вредоносной программы от компании Palo Alto Networks доступно здесь. Прежде всего, важно заметить, что все пользователи продуктов «Лаборатории Касперского» защищены от этой угрозы. Вредоносные файлы, используемые WireLurker, детектируются нашими продуктами под следующими вердиктами:
- Mac OS X:
- Trojan-Downloader.OSX.WireLurker.a
- Trojan-Downloader.OSX.WireLurker.b
- Trojan.OSX.WireLurker.a
- Apple iOS:
- Trojan-Spy.IphoneOS.WireLurker.a
- Trojan-Spy.IphoneOS.WireLurker.b
- Windows:
- Trojan.Win32.Wirelurker.a
Мы зафиксировали подключения к вредоносному командному серверу, расположенному в Гонконге, в июле 2014 г. Обмен данными продолжался в течении последующих месяцев, хотя трафик был небольшой.
Интересно, что обсуждение этой темы возникло ранее в этом году на различных форумах – в основном на китайском и корейском языке, но встречалось и на англоязычных ресурсах:
14 июля пользователь по ником SirBlanton пожаловался об этом зловреде на китаеязычной BBS:
Перевод на английский:
Перевод на русский:
По крайней мере три приложения для iPhone – Alfred 2.3 / Pixelmator 3.2 / FolxGO+ 3.0 – содержат зловред / троянца. При установке требует ввести пароль администратора, затем автоматически устанавливает подозрительные элементы запуска в фоновом режиме. Поддерживает постоянное соединение с www.comeinbaby.com. Выглядит следующим образом…
Пожалуйста, разберитесь!
Это обсуждение имело место на форуме по адресу bbs.maiyadi.com. Интересно, что другой поддомен на maiyadi.com используется под командный сервер зловредом (см. ниже).
Ещё раньше, 29 мая, в обсуждении на корейском языке упоминалось аномальное поведение компьютера Mac OS X, зараженного этой угрозой:
Интересно, что эти атаки осуществлялись не только на Mac OS X и Apple iOS. Вчера наш друг Джейме Бласко (Jaime Blasco) из компании Alienvault обнаружил вредоносный инструмент под 32-битную ОС Windows, который, по всей видимости, связан с данным зловредом.
Windows-модуль WireLurker
Название файла: 万能视频播放器 2.21.exe md5: fb4756b924c5943cdb73f5aec0cb7b14
Модуль WireLurker под 32-битный Windows
По всей видимости, файл скомпилирован в марте 2014 г., если только в метку времени не вносили изменения:
Полный набор метаданных:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
Machine Type : Intel 386 or later, and compatibles Time Stamp : 2014:03:13 03:56:21-04:00 PE Type : PE32 Linker Version : 10.0 Code Size : 721920 Initialized Data Size : 1364480 Uninitialized Data Size : 0 Entry Point : 0xafb86 OS Version : 5.1 Image Version : 0.0 Subsystem Version : 5.1 Subsystem : Windows GUI File Version Number : 1.0.0.1 Product Version Number : 1.0.0.1 File Flags Mask : 0x003f File Flags : (none) File OS : Windows NT 32-bit Object File Type : Executable application File Subtype : 0 Language Code : Chinese (Simplified) Character Set : Unicode File Description : 绿色IPA安装器 File Version : 1.0.0.1 Internal Name : 绿色IPA安装器.exe Original Filename : 绿色IPA安装器.exe Product Name : 绿色IPA安装器 Product Version : 1.0.0.1 |
Внутреннее имя файла – ‘绿色IPA安装器‘, что в переводе означает «Зеленый установщик IPA». По идее, это приложение для установки IPA-файлов на iOS-устройствах.
В нём содержится путь отладчика, в который зашита информация о сборке:
E:lifeilibimobiledevice-win32-master_lastReleaseappinstaller.pdb
Приложение содержит два файла IPA (Apple application archive) – один называется «AVPlayer», другой – «apps».
По всей вероятности, AVPlayer.app – это легитимизированное приложение iOS, используемое злоумышленниками как приманка.
Иконка приложения выглядит следующим образом:
«Легитимное» приложение, судя по всему, создано популярным разработчиком, который идентифицирует себя как «teiron@25pp.com».
Более интересен второй IPA-файл.
По всей видимости, файл apps создан в марте 2014. Он взаимодействует с уже известным командным сервером «comeinbaby[.]com»:
Часть sfbase.dylib взаимодействует с другим командным сервером:
В общем, описываемое приложение под 32-битный Windows позволяет установить указанную вредоносную программу под iOS на iPhone жертвы. Судя по всему, автор зловреда таким образом просто позаботился о том, чтобы пользователи Windows тоже имели возможность заразить свои iOS-устройства.
Детекты в KSN
Kaspersky Security Network (KSN) – это комплексная распределенная инфраструктура, предназначенная для обработки потоков данных, связанных с кибербезопасностью и поступающих от миллионов добровольных участников по всему миру. KSN защищает всех пользователей и партнеров, подсоединенных к интернету, обеспечивая оперативную реакцию на появление новых вредоносных программ, высочайший уровень их обнаружения и наименьший уровень ложных срабатываний. Подробное описание KSN доступно здесь. На следующей диаграмме представлены детекты WireLurker под OSX, о которых были оповещения через KSN:
Более 60% случаев обнаружены в Китае, что вполне ожидаемо.
Выводы
Этот инцидент – ещё одно напоминание о том, что использовать пиратское ПО опасно вне зависимости от того, на какой платформе вы это делаете. Загружая приложения из неофициальных источников, будь то альтернативные рыночные площадки, вебсайты для обмена файлами, торренты или прочие P2P-сети, вы подвергаете себя повышенному риску заражения вредоносным ПО. Например, под Mac OS X это один из основных методов распространения вредоносного ПО.
Сложно преувеличить необходимость противовирусной защиты на устройствах MacOS X. Дело не только в том, что может заразиться ваш компьютер MacOS X; на примере WireLurker стало ясно, что заражение может перекинуться на ваш iPhone. Хорошая новость: есть большой выбор защитных решений, в т.ч. наш Kaspersky Internet Security для Mac.
В качестве первой линии защиты пользователям Mac OS X следует проверить настройки безопасности и убедиться, что система сконфигурирована оптимальным образом. Мы рекомендуем настроить Gatekeeper так, что была разрешена установка только приложений, скачанных из магазина приложений Mac OS и произведенных утвержденными.
Также обязательно ознакомьтесь с нашей инструкцией по безопасности Mac: Как защитить ваш Mac: 10 простых советов.
Надеемся, этот пост также станет «звоночком» для пользователей Apple, и они пересмотрят свои взгляды на безопасность. Точно так же, как зловреды под Mac OS X быстро выросли из мифа в жестокую реальность – в последнее время мы всё чаще наблюдаем атаки на iOS, и при этом никто не знает, как обеспечить защиту для этой платформы. Производителям защитных решений всё ещё не разрешают предоставлять защиту для пользователей iPhone.
Изменится ли эта стратегия в свете последних событий?
Показатели заражения:
Командные серверы:
app.maiyadi[.]com
comeinbaby[.]com
61.147.80.73
124.248.245.78
MD5-суммы:
3fa4e5fec53dfc9fc88ced651aa858c6
5b43df4fac4cac52412126a6c604853c
88025c70d8d9cd14c00a66d3f3e07a84
9037cf29ed485dae11e22955724a00e7
a3ce6c8166eec5ae8ea059a7d49b5669
aa6fe189baa355a65e6aafac1e765f41
bc3aa0142fb15ea65de7833d65a70e36
c4264b9607a68de8b9bbbe30436f5f28
c6d95a37ba39c0fa6688d12b4260ee7d
c9841e34da270d94b35ae3f724160d5e
dca13b4ff64bcd6876c13bbb4a22f450
e03402006332a6e17c36e569178d2097
fb4756b924c5943cdb73f5aec0cb7b14
iOS-троянец WireLurker: Cтатистика и новая информация