Wirelurker — новая эра вредоносного программного обеспечения для iOS и OS X

Владельцы мобильных устройств Apple, как правило, не очень заботятся о безопасности. Одно дело утечки персональных данных, от которых никто не застрахован, и совсем другое — вредоносное программное обеспечение. Последнего, как многие полагают, для смартфонов и планшетов под управлением iOS не существует. Впрочем, хакеры постоянно пытаются доказать обратное и это у них порой получается. Компания Palo Alto Networks опубликовала отчет об уязвимости и вредоносном программное обеспечении Wirelurker, которое привело к заражению сотен тысяч мобильных устройств Apple.

Изначально вредоносный софт начал распространяться в Китае через 467 программ в альтернативном магазине приложений Maiyadi App Store для компьютеров под управлением OS X. В настоящий момент насчитывается 356 104 скачиваний зараженного программного обеспечения, а пострадавших от Wirelurker компьютеров и мобильных устройств может быть еще больше.

Исследователи компьютерной безопасности отмечают, что это семейство софта положит начало новой эры вредоносного программного обеспечения, атакующего устройства Apple. Причина столь громкого заявления кроется в особенностях Wirelurker:

— Масштабы заражения Wirelurker наибольшие среди всех вредоносных приложений, работающих по принципу троянов или перепаковки приложений для OS X;

— Это второе известное семейство вредоносного ПО, которое атакует iOS-устройства при подключении к компьютеру Mac по USB;

— Это первый случай, когда вредоносное приложение для OS X автоматически генерирует вредоносный софт для iOS путем замены бинарного файла;

— Wirelurker — первое вредоносное ПО, которое может заражать iOS-приложения по тому же принципу, как работают традиционные вирусы;

— Это первое широко распространенное вредоносное ПО, которое может атаковать смартфоны и планшеты без джейлбрейка за счет использования корпоративного профиля enterprise provisioning.

Что касается принципов работы Wireluker, после заражения компьютера под управлением OS X, он начинает отслеживать подключение мобильных устройств по USB. Как только это происходит, на смартфон или планшет устанавливается ранее скачанное или автоматически сгенерированное приложение. В этом случае не имеет значения, сделал ли владелец джейлбрейк. Wireluker использует несколько версий компонентов, умеет работать незаметно для пользователя, использует шифрование и обфускацию кода для противодействия изучения с помощью методов обратной разработки.

В настоящий момент способы противодействия Wireluker сводятся к очевидным советам по безопасности:

— Корпорациям необходимо отслеживать мобильный трафик для предотвращения утечек информации с помощью приложений типа GlobalProtect;

— На компьютеры Mac стоит установить антивирусное ПО и следить за своевременным обновлением баз;

— В настройках безопасности OS X нужно разрешить установку приложений только из Mac App Store и от установленных разработчиков;

— Не скачивать приложения и игры из сторонних магазинов софта и других ненадежных источников;

— Своевременно обновлять прошивку на iOS-устройствах;

— Не устанавливать неизвестный профили на мобильные устройства;

— Не подключать смартфоны и планшеты к ненадежным компьютерам;

— Не делать джейлбрейк, либо пользоваться твиками только из надежных репозиториев.

← Понравился материал? Читайте нас в Facebook

добавить комментарий

^-25ефимыч6 ноября 2014 в 12:16

печалька; (

Сообщение отправлено из мобильного приложения iGuides

–2

↑

↓

Ответить

⁺¹⁰gold336 ноября 2014 в 12:27

Как всегда проблема со сторонними магазинами приложений. Не пользуетесь сторонними магазинами и будет счастье

Сообщение отправлено из мобильного приложения iGuides

⁺¹³DI Pu6 ноября 2014 в 12:34

Статья касперским пропангажирована? В оригинальных рекомендациях про антивирус ничего нет.
Чтобы не стать жертвой этого вирусного ПО, Palo Alto Networks рекомендует:
не использовать программное обеспечение, которое получено не из Mac App Store или не подписано сертификатом идентифицированных разработчиков;
устанавливать стороннее ПО только в том случае, когда это разрешили сделать доверенные лица (IT-отдел в компании);
постоянно обновлять системные файлы и устанавливать актуальные обновления безопасности;
устанавливать последние обновления iOS на мобильные устройства;
избегать подключения к чужому компьютеру и использования неизвестных аксессуаров;
не сопрягать свои iOS-устройства с ненадежными или неизвестными компьютерами или устройствами;
не использовать Jailbreak.

–1

⁺⁵³⁹Артур Сотников⇒DI Pu6 ноября 2014 в 12:40

Да ладно, прям таки нет? Вторым пунктом в списке рекомендаций Palo Alto Networks указан антивирус и пунктов там намного больше, чем у вас.

^-25ефимыч⇒DI Pu6 ноября 2014 в 12:40

про антивирус ты прав, там оно лишнее, а так, то, что ты написал в комменте,было в статье, так что облом тебе)))

Сообщение отправлено из мобильного приложения iGuides

⁺³Dmitry Voznyak6 ноября 2014 в 12:42

Тем временем эбола нервно курит в сторонке.

Сообщение отправлено из мобильного приложения iGuides

⁺⁸⁰keni⇒Dmitry Voznyak6 ноября 2014 в 13:04

Если в интернете почитать про эболу (скажем так — альтернативные источники) то она действительно курит в сторонке, даже в сравнении с обычном гриппом.

Сообщение отправлено из мобильного приложения iGuides

cdne47 ¤ 6 ноября 2014 в 12:44

Чёт вы отчет не смотрели походу,там указанно,что вирус находится в разработке и требует частого обновления,все что он умеет,так это проникать на устройства и все

Сообщение отправлено из мобильного приложения iGuides

⁺¹⁷gleb6 ноября 2014 в 12:49

Вот вот. Я так и не понял чем он вредит. Что происходит с устройствами? Может кто ответит?!?

Сообщение отправлено из мобильного приложения iGuides

^-25ефимыч⇒gleb6 ноября 2014 в 18:20

ну незнаю.... скорее всего в телефоне удаляются данные....

Сообщение отправлено из мобильного приложения iGuides

⁺⁵²AiR ¤ 6 ноября 2014 в 13:40

похожая новость была про Дрон недавно ) что-то Апл копирует Гугл, пора в суд за плагиат ))

⁺¹Ruslan Bologan6 ноября 2014 в 14:21

Это утке уже 3 года...
http://texnomaniya.ru/internet-news/sajjt-apple-torgoval-virusom.html

⁺¹⁸⁶Влад Соломицкий6 ноября 2014 в 15:41

как можно твики без джейла ставить?
чем опасен этот вирус — не сказано...

^-46Дмитрий Борн ¤ 6 ноября 2014 в 18:33

Чушь. нет ответа на вопрос как установить вредоносную прошу на не джейлбрейкнутый аппарат. то что есть в статье это не ответы, а софистика,

⁺¹²Midairmac 6 ноября 2014 в 18:51

...прежде чем дебаты выдвигать читайте кто автор статьи. В Гугле забейте название этой статьи и увидите откуда информацию он черпает. Баянист с жёлтым баяном!

Отредактировано 1 раз

^-46Дмитрий Борн ¤ 6 ноября 2014 в 19:22

WireLurker monitors any iOS device connected via USB with an infected OS X computer and installs downloaded third-party applications or automatically generated malicious applications onto the device, regardless of whether it is jailbroken.

1. как можно установить не сертифицированные приложение на не взломанное айустройство? каким именно образом происходит автоматическая генерация вредоносного приложения и как оно умудряется обходить принцип песочницы? Ответ прост никак. В случае с аппаратом без джейлбрейка.

For a non-jailbroken iOS device, WireLurker simply installs iOS application

Хаха... Просто устанавливает приложение...Но если выкате крутые, то уж скажите нам как именно..... Но они ничего не говорят. Ха, а если я не захочу устанавливать это приложение...Ребята из явно странной конторы не дают никаких пояснений...Читаем дальше...

Вот ребята нам в начале отчета по этой заразе говорят, что мол установка приложения абсолютно не видима... Но дальше мы читаем

At this point, new application icons are visible to the user on the connected iOS device, whether jailbroken or not.

Интересен вот этот пассажик! Вообще чума)))

The use of enterprise provisioning explains how these applications can be installed on non-jailbroken iOS devices. Yet, on the first attempt to run a WireLurker application on iOS, users are presented with a dialog requesting confirmation to open a third-party application (Figure 16).

У вас, уважаемые мои, когда-нибудь появлялось диалоговое окно на вашем НЕ ВЗЛОМАННОМ устройстве с просьбой разрешить установку приложения из не проверенного источника?

Прочитав весь отчет целиком, у меня сложилось четкое впечатление что это все развод, или по крайней мере попытка срубить бабла, путем обострения ситуации и искажения действительности. Эта контора явно врет о возможности установки этого вируса на не джейлбрейкнутый девайс. Как минимум.
Всем чистых яблок!

Отредактировано 2 раза

⁺⁵³⁹Артур Сотников⇒Дмитрий Борн7 ноября 2014 в 10:31

Во-первых, вы не очень внимательно прочитали про работу WireLurker на устройствах без джейлбрейка. Во-вторых, диалоговое окно про установку из непроверенного источника бывает на устройствах без джейлбрейка. И если вы и ним не сталкивались, это не значит, что такого нет. Хотя бы программы бета-тестирования софта работают именно по такому принципу.

^-46Дмитрий Борн ¤ ⇒Артур Сотников7 ноября 2014 в 11:17

очень внимательно я все читал.
А с диалоговым окном я не сталкивался с 2007 года... Не фига се везение)))
А вся работа якобы вируса на устройстве без джейлбрейка заключается во фразах типа "оно просто устанавливается", "просто перепаковывает", и "просто использует корпоративные сертификаты". Это туфта, а не доказательства.

^-46Дмитрий Борн ¤ ⇒Артур Сотников7 ноября 2014 в 11:35

Во-вторых, диалоговое окно про установку из непроверенного источника бывает на устройствах без джейлбрейка.

Докажите этот тезис пжлста.. На аппарате с джейлом это понятно. Но без джейла то у нас есть апстор, который является проверенным источником...В нашей реальности в апсторе нет бета программ.
Да и потом, какой же это навив вирус, если он все равно запрашивает при попытке заразить мак пароль администратора.

⁺⁵³⁹Артур Сотников⇒Дмитрий Борн7 ноября 2014 в 12:14

Что я вам должен доказывать? Без джейлбрейка можно устанавливать приложения не из App Store по программам бета-тестирования. Примите это как данность.

Как по вашему работал TestFlight до покупки Apple или работает HockeyApp? Как устанавливаются без джейлбрейка корпоративные приложения, которые не предназначены для публичного доступа и не могут быть размещены в App Store?

Вот и встает вопрос о «вашей реальности» и оценке событий, о которых рассказывают специалисты Palo Alto Networks. Почитайте побольше о enterprise provisioning хотя бы.

^-46Дмитрий Борн ¤ ⇒Артур Сотников7 ноября 2014 в 13:03

Что я вам должен доказывать? Без джейлбрейка можно устанавливать приложения не из App Store по программам бета-тестирования. Примите это как данность.

Про бета тест допустим. Признаюсь честно, не учел этого момента. Хотя и вернемся к этому разговору позже. Допустим.
Опять вирус для айоси выдумали, что замумукаешься заражать свой девайс.. Шутка ли. Зайди на какой-то китайски сайт. Скачай загаженную прогу, наплюй на явно стремные предупреждения макоси, ослепни когда заразная прога будет ломиться к тебе на девайс... Не, я уже устал.
Что касается ваших тезисов о программе эппл по тестфлайту и корпорэйт провижинс, то опять таки. Эта контора говорит что это может быть использовано, но доказательств, что это реально работает на не взломанных устройств просто нет...
С учетом того, что большая часть юзеров не стремиться быть бета тестерами.
Короче в любом случае сенсации нет. Да люди работают, но пока это все настолько сырое. Вот когда произойдет первый случай заражения айоси устройства нормального среднестатистического юзера, вот тогда можно будет и подумать об антивирусе.
А пока эта конторка реально пытается срубить бабла.

^-46Дмитрий Борн ¤ ⇒Артур Сотников7 ноября 2014 в 15:36

Само по себе упоминание enterprise provisioning в отчете этой конторы не отвечает на прямой вопрос. Как конкретно происходит "простая перепаковка" и "простое прониконовение".
Ок. Вот у меня Мак, который скачал троянское приложение с этого китайского магазина. Вот я подключаю айустройство... Открывается тунец. С какого ляду, без тунца на мое устройство пойдет загруз стороннего приложения?
Ах да ребята говорят: с помощью функции ентерпрайс провижн....Но в этом случае, чтоб это работало необходимо, чтобы и я был бы подписантом iOS Development Enterprise Program....

^-46Дмитрий Борн ¤ ⇒Артур Сотников7 ноября 2014 в 11:46

First in-the-wild malware to install third-party applications on non-jailbroken iOS devices through enterprise provisioning

Оставим в сторону игру со словосочетанием корпоративные сертификаты безопасности.... Наши умы из этой конторы фактически говорят, что в процессе заражения iOS устройства происходит не много не мало джейлбрейк данного устройства...
У меня вопрос... WTF?!!!

one name7 ноября 2014 в 02:08

Ясно самое главное вирусы на ios существуют ,а когда они будут ложить телефоны ,дело времени

Сообщение отправлено из мобильного приложения iGuides

^-46Дмитрий Борн ¤ ⇒one name7 ноября 2014 в 05:47

Для джейлбрейкнутых аппаратов, да.
Насчет "вопроса времени", то конечно, перед временем ничего не устоит...
Общая ситуация с вредоносным ПО такова, что распространение и инфильтрация этого самого ПО будет напрямую зависить от способности Кука держать марку, так скажем...

linkin1747 ноября 2014 в 06:42

Да не ссыте. Не ставьте приложения не пойми откуда и все будет хорошо. Вообще не ясно зачем использовать сторонние источники на Маке. Все нужное есть в магазине. Чего нет можно скачать с офф сайтов разработчиков. Подчеркиваю официальных сайтов. Мне кажется кто то просто пытается костер раздуть.

Сообщение отправлено из мобильного приложения iGuides

⁺¹Павел Новиков8 ноября 2014 в 15:55

Моя нокиа 1800 ржет над этим в голос :)