6 ноября 2014

Китайский вирус WireLurker поражает Mac, iPhone и iPad

Новости Угрозы

Продукция Apple традиционно считается более безопасной и защищенной, чем устройства конкурентов, поставляемые с Windows и Android. Но это не значит, что использование маков и айфонов гарантирует отсутствие проблем. Вот и свежий пример: вчера компания Palo Alto Networks, занимающаяся сетевой безопасностью, выпустила большой отчет «WireLurker: новая эра вредоносных программ для iOS и OS X«.

WireLurker: iOS and OS X malware

В этом отчете идет речь о появлении уникального и очень опасного вируса, поражающего технику Apple. Причем под ударом оказались не только компьютеры Mac под управлением операционной системы OS X, но и устройства на базе iOS. Зловред, получивший название WireLurker, предположительно начал свое шествие по миру из Китая и на данный момент поразил уже несколько сотен тысяч устройств.

Первые сообщения об этом загадочном троянце появились в Интернете еще в июне этого года, когда один из сотрудников крупнейшего китайского интернет-провайдера случайно обнаружил на своих устройствах Apple подозрительные программы. С тех пор сообщения о вирусе стали время от времени появляться на местных форумах, в результате чего удалось выявить источник заразы: им оказался китайский магазин нелегальных приложений для Mac — Maiyadi App Store. Проведенное исследование показало, что троянец был встроен более чем в 450 приложений, которые были скачаны в общей сложности более 350 тыс. раз. Среди зараженных программ, кстати, ожидаемо оказались несколько популярных игр, в том числе The Sims 3, Battlefield: Bad Company 2 и Angry Birds.

WireLurker Install Screen

Экран установки приложений, зараженных WireLurker (иллюстрация из отчета Palo Alto Networks)

WireLurker — второй в истории зловред для устройств Apple, способный заражать iOS-девайсы через USB-кабель. Достаточно скачать на свой Mac зараженную программу и подключить к компьютеру смартфон или планшет — и вирус тут же перекочует на мобильное устройство. Более того, китайский троянец умеет то, что не мог ни один его предшественник или аналог: он может самостоятельно генерировать зараженные приложения и устанавливать их на айфон или айпад.

Чтобы копия зловреда попала на подключенное устройство, от пользователя требуется подтверждение установки. Но поскольку выглядит приложение вполне легитимно, большинство жертв просто не замечают подвоха. Причем зараза попадает в iOS-девайс даже в том случае, если он не проходил процедуру джейлбрейка, что значительно способствует распространению вируса. Правда, в этом случае на смартфон или планшет попадает лишь относительно безобидное, хотя и потенциально вредоносное, приложение.

Исследователи считают, что WireLurker все еще находится в разработке, так что конечная цель его авторов пока остается загадкой

Что же делает WireLurker? На данный момент доподлинно известно, что в случае попадания на устройство, подвергнутое ранее джейлбрейку, зловред позволяет злоумышленникам собирать целый ворох всевозможных данных. В частности, он умеет копировать содержимое SMS-переписки и адресной книги, а также собирать некоторую информацию о владельце и его устройствах и отсылать обнаруженные данные на удаленный сервер. Помимо этого по команде управляющего центра зловред может самостоятельно обновить самого себя и производит некоторые другие действия.

В то же время исследователи предполагают, что обнаруженные возможности WireLurker — это лишь вершина айсберга и авторы заложили в него гораздо больше возможностей, чем удалось выявить к настоящему времени. Вместе с тем один из независимых исследователей, «ковырявших» китайский зловред, сделал интересный вывод: по его мнению, троянец нацелен скорее на идентификацию авторов и распространителей пиратских приложений, нежели на кражу данных или совершение каких-либо деструктивных действий. С другой стороны, из Китая уже поступило как минимум одно сообщение о факте похищения данных из местного платежного сервиса AliPay, так что, возможно, авторы вируса преследуют разные, не связанные между собой цели.

Что же до самой Apple, то компания, скорее всего, уже вовсю готовит соответствующие патчи. Во всяком случае, представители компании заявили, что заблокировали установку фигурируемых в отчете Palo Alto Networks программ. Мы же в свою очередь спешим сообщить, что наше защитное решение Kaspersky Internet Security для Mac уже определяет зловред WireLurker как Trojan-Downloader.OSX.WireLurker.a и успешно препятствует его проникновению в систему.

Ну а чтобы у заразы не было ни малейшего шанса попасть ни на одно из ваших устройств, рекомендуем следовать простым рекомендациям:
— регулярно обновлять вирусные базы;
— не подвергать iOS-устройства процедуре Jailbreak, так как это значительно увеличивает шанс проникновения в систему вредоносного ПО;
— не устанавливать на устройства Apple приложения из пиратских магазинов и репозиториев, пользоваться исключительно официальными источниками программ;
— не подтверждать установку и использование на iPhone и iPad любых сертификатов, если их не устанавливает специалист;
— стараться исключить необходимость подключения своих устройств к чужим компьютерам: это позволит минимизировать риск подхватить заразу с чужого Mac.

P.S.: по сообщению специалистов из Palo Alto Networks, выпуск отчета и создавшаяся вокруг WireLurker шумиха спровоцировала создателей вируса отключить серверы, с которых зловред получал команды, и приостановить свою активность. Очевидно, создатели троянца решили прекратить деятельность лишь на время, до тех пор, пока не уляжется пыль. Вероятнее всего, мы еще услышим об этом зловреде, но, возможно, уже под другим названием.