Описание вредоносного ПО

iOS-троянец WireLurker: Cтатистика и новая информация

Недавно появились сообщения об атаках на пользователей iPhone и MacOS X при помощи довольно необычной вредоносной программы, которая получила название WireLurker. Подробное исследование вредоносной программы от компании Palo Alto Networks доступно здесь. Прежде всего, важно заметить, что все пользователи продуктов «Лаборатории Касперского» защищены от этой угрозы.  Вредоносные файлы, используемые WireLurker, детектируются нашими продуктами под следующими вердиктами:

  • Mac OS X:
    • Trojan-Downloader.OSX.WireLurker.a
    • Trojan-Downloader.OSX.WireLurker.b
    • Trojan.OSX.WireLurker.a
  • Apple iOS:
    • Trojan-Spy.IphoneOS.WireLurker.a
    • Trojan-Spy.IphoneOS.WireLurker.b
  • Windows:
    • Trojan.Win32.Wirelurker.a

Мы зафиксировали подключения к вредоносному командному серверу, расположенному в Гонконге, в июле 2014 г. Обмен данными продолжался в течении последующих месяцев, хотя трафик был небольшой.

Интересно, что обсуждение этой темы возникло ранее в этом году на различных форумах – в основном на китайском и корейском языке, но встречалось и на англоязычных ресурсах:

iOS-троянец WireLurker: Cтатистика и новая информация

14 июля пользователь по ником SirBlanton пожаловался об этом зловреде на китаеязычной BBS:

iOS-троянец WireLurker: Cтатистика и новая информация

Перевод на английский:

iOS-троянец WireLurker: Cтатистика и новая информация

Перевод на русский:

По крайней мере три приложения для iPhone – Alfred 2.3 / Pixelmator 3.2 / FolxGO+ 3.0 – содержат зловред / троянца. При установке требует ввести пароль администратора, затем автоматически устанавливает подозрительные элементы запуска в фоновом режиме. Поддерживает постоянное соединение с www.comeinbaby.com. Выглядит следующим образом…

Пожалуйста, разберитесь!

Это обсуждение имело место на форуме по адресу bbs.maiyadi.com. Интересно, что другой поддомен на maiyadi.com используется под командный сервер зловредом (см. ниже).

Ещё раньше, 29 мая, в обсуждении на корейском языке упоминалось аномальное поведение компьютера Mac OS X, зараженного этой угрозой:

iOS-троянец WireLurker: Cтатистика и новая информация

Интересно, что эти атаки осуществлялись не только на Mac OS X и Apple iOS. Вчера наш друг Джейме Бласко (Jaime Blasco) из компании Alienvault обнаружил вредоносный инструмент под 32-битную ОС Windows, который, по всей видимости, связан с данным зловредом.

Windows-модуль WireLurker

Название файла: 万能视频播放器 2.21.exe md5: fb4756b924c5943cdb73f5aec0cb7b14

iOS-троянец WireLurker: Cтатистика и новая информация

Модуль WireLurker под 32-битный Windows

По всей видимости, файл скомпилирован в марте 2014 г., если только в метку времени не вносили изменения:

iOS-троянец WireLurker: Cтатистика и новая информация

Полный набор метаданных:

Внутреннее имя файла – ‘绿色IPA安装器‘, что в переводе означает «Зеленый установщик IPA». По идее, это приложение для установки IPA-файлов на iOS-устройствах.

В нём содержится путь отладчика, в который зашита информация о сборке:

 E:lifeilibimobiledevice-win32-master_lastReleaseappinstaller.pdb

Приложение содержит два файла IPA (Apple application archive) – один называется «AVPlayer», другой – «apps».

По всей вероятности, AVPlayer.app – это легитимизированное приложение iOS, используемое злоумышленниками как приманка.

Иконка приложения выглядит следующим образом:

iOS-троянец WireLurker: Cтатистика и новая информация

«Легитимное» приложение, судя по всему, создано популярным разработчиком, который идентифицирует себя как «teiron@25pp.com».

iOS-троянец WireLurker: Cтатистика и новая информация

Более интересен второй IPA-файл.

iOS-троянец WireLurker: Cтатистика и новая информация

По всей видимости, файл apps создан в марте 2014. Он взаимодействует с уже известным командным сервером «comeinbaby[.]com»:

iOS-троянец WireLurker: Cтатистика и новая информация

Часть sfbase.dylib взаимодействует с другим командным сервером:

iOS-троянец WireLurker: Cтатистика и новая информация

В общем, описываемое приложение под 32-битный Windows позволяет установить указанную вредоносную программу под iOS на iPhone жертвы. Судя по всему, автор зловреда таким образом просто позаботился о том, чтобы пользователи Windows тоже имели возможность заразить свои iOS-устройства.

Детекты в KSN

Kaspersky Security Network (KSN) – это комплексная распределенная инфраструктура, предназначенная для обработки потоков данных, связанных с кибербезопасностью и поступающих от миллионов добровольных участников по всему миру. KSN защищает всех пользователей и партнеров, подсоединенных к интернету, обеспечивая оперативную реакцию на появление новых вредоносных программ, высочайший уровень их обнаружения и наименьший уровень ложных срабатываний. Подробное описание KSN доступно здесь. На следующей диаграмме представлены детекты WireLurker под OSX, о которых были оповещения через KSN:

iOS-троянец WireLurker: Cтатистика и новая информация

Более 60% случаев обнаружены в Китае, что вполне ожидаемо.

Выводы

Этот инцидент – ещё одно напоминание о том, что использовать пиратское ПО опасно вне зависимости от того, на какой платформе вы это делаете. Загружая приложения из неофициальных источников, будь то альтернативные рыночные площадки, вебсайты для обмена файлами, торренты или прочие P2P-сети, вы подвергаете себя повышенному риску заражения вредоносным ПО. Например, под Mac OS X это один из основных методов распространения вредоносного ПО.

Сложно преувеличить необходимость противовирусной защиты на устройствах MacOS X.  Дело не только в том, что может заразиться ваш компьютер MacOS X; на примере WireLurker стало ясно, что заражение может перекинуться на ваш iPhone. Хорошая новость: есть большой выбор защитных решений, в т.ч. наш Kaspersky Internet Security для Mac.

В качестве первой линии защиты пользователям Mac OS X следует проверить настройки безопасности и убедиться, что система сконфигурирована оптимальным образом. Мы рекомендуем настроить Gatekeeper так, что была разрешена установка только приложений, скачанных из магазина приложений Mac OS и произведенных утвержденными.

Также обязательно ознакомьтесь с нашей инструкцией по безопасности Mac: Как защитить ваш Mac: 10 простых советов.

Надеемся, этот пост также станет «звоночком» для пользователей Apple, и они пересмотрят свои взгляды на безопасность. Точно так же, как зловреды под Mac OS X быстро выросли из мифа в жестокую реальность – в последнее время мы всё чаще наблюдаем атаки на iOS, и при этом никто не знает, как обеспечить защиту для этой платформы. Производителям защитных решений всё ещё не разрешают предоставлять защиту для пользователей iPhone.

Изменится ли эта стратегия в свете последних событий?

Показатели заражения:

Командные серверы:
app.maiyadi[.]com
comeinbaby[.]com
61.147.80.73
124.248.245.78

MD5-суммы:
3fa4e5fec53dfc9fc88ced651aa858c6
5b43df4fac4cac52412126a6c604853c
88025c70d8d9cd14c00a66d3f3e07a84
9037cf29ed485dae11e22955724a00e7
a3ce6c8166eec5ae8ea059a7d49b5669
aa6fe189baa355a65e6aafac1e765f41
bc3aa0142fb15ea65de7833d65a70e36
c4264b9607a68de8b9bbbe30436f5f28
c6d95a37ba39c0fa6688d12b4260ee7d
c9841e34da270d94b35ae3f724160d5e
dca13b4ff64bcd6876c13bbb4a22f450
e03402006332a6e17c36e569178d2097
fb4756b924c5943cdb73f5aec0cb7b14

iOS-троянец WireLurker: Cтатистика и новая информация

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике