WireLurker, malver za OS X i iOS, zarazio uređaje stotine hiljada korisnika

Vesti, 07.11.2014, 08:48 AM

Istraživači firme Palo Alto Networks otkrili su malver koji napada Apple uređaje i čiji su napadi do sada bili ograničeni na korisnike kineske prodavnice aplikacija Maiyadi, na kojoj se nudi piratski sadržaj.

Malver koji je nazvan “WireLurker” prikuplja logove poziva, kontakte iz telefona i druge osetljive informacije koje pronađe na Appleovim mobilnim uređajima.

Istraživači Palo Alto Networks kažu da je maliciozni kod sakriven u aplikacijama koje korisnici preuzimaju iz prodavnice Maiyadi.

“WireLurker je korišćen za trojanizovanje 467 OS X aplikacija u prodavnici aplikacija Maiyadi”, kažu iz Palo Alto Networksa. “Za prethodnih šest meseci, ove inficirane aplikacije preuzete su više od 356104 puta i mogle su zaraziti stotine hiljada korisnika.”

Neke od aplikacija u kojima je WireLurker bio sakriven su “The Sims 3”, “International Snooker 2012” i “Pro Evolution Soccer 2014”, kažu istraživači. Svi trojanizovani programi su prikazivali pozadinsku sliku “Pirati sa Kariba” tokom procesa instalacije.

Apple savetuje korisnicima da aplikacije preuzimaju isključivo iz Appleove zvanične prodavnice aplikacija, u kojoj se aplikacije pažljivo proveravaju i da se klone nezvaničnih prodavnica aplikacija upravo iz bezbednosnih razloga.

Po svemu sudeći, mnogi korisnici su ignorisali ovu Appleovu preporuku i aplikacije preuzimali i iz prodavnice Maiyadi u kojoj su ponuđene aplikacije besplatne, kaže Rajan Olson iz Palo Alto Networksa.

Istraživači ove firme otkrili su i analizirali tri verzije malvera WireLurker, od kojih je svaka sledeća unapređena verzija prethodne.

Ipak, bez obzira na verziju, aktivnosti malvera se nisu menjale i svodile su su na prikupljanje podataka iz zaraženih mobilnih uređaja. Malver je prikupljao informacije o iOS uređajima kao što su serijski broj, broj modela, tip uređaja, korisnički Apple ID, UDID, Wi-Fi adresa, informacije o korišćenju diska, kontakte iz telefona, SMS poruke i druge i slao ih serveru koji je pod kontrolom napadača.

“Mi mislimo da smo izgleda uhvatili nekoga usred razvoja napada, i da napadači nisu stigli do tačke pokretanja punog napada”, kaže Olson. “Malver je još u fazi aktivnog razvoja tako da je krajnji cilj autora još uvek nejasan.”

Ono po čemu su upečatljivi napadi malvera WireLurker je to što su za napad na iOS korišćene aplikacije za Mac desktop. Istraga je pokazala da su skoro sve Mac aplikacije koje su postavljane u prodavnicu Maiyadi u periodu od 30. aprila do 11. juna ove godine bile trojanizovane malverom WireLurker.

Ako bi neko preuzeo Mac OS X desktop aplikaciju iz prodavnice Maiyadi, WireLurker koji je sakriven u njoj bi odmah kontaktirao komandno-kontrolni server i zatražio ažuriranja. Malver bi sačekao trenutak kada se iOS uređaj poveže sa računarom preko USB kabla. Kada bi se to dogodilo, malver je proveravao da li je iOS uređaj jailbreakovan ili ne, odnosno da li ima ograničenja koja Apple koristi kako bi sprečio pokretanje neodobrenih aplikacija.

Malver je zatim proveravao softver na mobilnom uređaju, i ako bi pronašao aplikacije za uređivanje fotografija kao što su Taobao, Alipay ili Meitu, kopirao bi ih na računar, inficirao i tako inficirane vraćao natrag na iOS uređaj.

Treća verzija malvera koju su otkrili istraživači napadala je i iOS uređaje koji nisu jailbreakovani. Ta verzija je koristila digitalni sertifikat koji Apple izdaje programerima kompanija tako da oni mogu poketati sopstvene aplikacije koje se ne nalaze u Appleovoj prodavnici aplikacija. Korišćenje digitalnog sertifikata znači da bi iOS omogućio instalaciju third-party aplikacije, iako bi korisnici bi korisnicima bilo prikazano upozorenje, objasnio je Olson. Ako bi korisnik odobrio instalaciju, WireLurker bi bio instaliran.

Palo Alto Networks je obavestio Apple o svom otkriću, iako u ovom slučaju ne postoji propust koji bi Apple mogao da ispravi. Ipak, Apple je reagovao brzo, pa je kompanija juče saopštila da je blokirala aplikacije koje su inficirane malicioznim kodom WireLurkera.

Kompanija nije precizirala kakve je korake preduzela da bi zaustavila napade, ali je iz Applea rečeno da znaju da maliciozni softver napada korisnike u Kini i da su oni blokirali sporne aplikacije tako da će njihovo pokretanje biti sprečeno. Apple je povukao sertifikat koji su koristili autori malvera WireLurker.

Iz Applea su još jednom ponovili da korisnici treba da preuzimaju softver jedino iz pouzdanog izvora.

Na kraju, da li bi trebalo da brinete zbog malvera WireLurker? Odgovor bi bio - ne previše.

Ako se držite dalje od nesigurnih sajtova, kao što je Maiyadi, onda nema razloga za brigu.

Malver prvenstveno cilja na iOS uređaje koji su jailbreakovani, iako postoji i verzija malvera koja koristi Appleov digitalni sertifikat koji omogućava napad malvera i na uređaje koji nisu jailbreakovani. Ipak, istraživači kažu da čak i ta verzija zahteva odobrenje korisnika pre nego što inficirana aplikacija bude pokrenuta.

I najzad, malver cilja popularne kineske aplikacije Taobao, Alipay i Meitu. Ako niste njihov korisnik, možete da budete mirni.