WireLurker — стоит запомнить это название, потому что оно открыло новую страницу в весьма скудной истории жизни вирусов на iOS и OS X. Благодаря особенности архитектуры мобильной и настольной платформ Apple, а также жесткому контролю стороннего ПО со стороны компании, пользователи iPhone, iPad и Mac особо не беспокоятся о средствах защиты от вирусов и сам я ни разу с 2008 года не устанавливал антивирус на MacBook. Но все течет, все меняется. Не секрет, что наиболее сильные программисты сейчас обосновались в Китае. Именно они реализовали джейлбрейк iOS 8, именно китайцы разработали лучшую альтернативу iTunes для синхронизации iOS-устройств, известную под названием iTools. Именно в Поднебесной был создан первый вирус, способный внедрить неподписанный код в iOS без открытой файловой системы, то есть без джейлбрейка. Да — это WireLurker.
Вирус заражает компьютеры на базе OS X через инфицированный софт, который распространяется в сторонних китайских магазинах приложений для этой платформы, например, через Maiyadi App Store. По данным Palo Alto Networks, в нем обнаружено более 400 зараженных зловредом WireLurker программ, которые были загружены 356 тыс. пользователями. Это самая большая вирусная атака за всю историю OS X и iOS. Но, что самое интересное, сам вирус все еще в разработке и команда неизвестных злых гениев пока лишь «пристреливается», испытывая свое творение в реальном мире, но не предпринимая каких бы то ни было серьезных шагов по использованию обнаруженных уязвимостей.
В частности, после того, как WireLurker попадает в OS X, он крепко укореняется в системе и при подключении iOS-устройства по USB, записывает в него свой код. Если на телефоне есть джейлбрейк, тогда программа начинает следить за платежными приложениями пользователя, вроде AliPay. Если джейлбрейка нет, WireLurker устанавливает на телефон какой-то фальшивый комикс. Вроде бы все не так страшно, ведь какой вред может нанести комикс? Но в данном случае важнее не установка бесполезного приложения без ведома пользователя, а сам факт этой установки. Вирус исполняет собственный код без разрешения системы и сертификата. Сегодня это бестолковый, но безопасный комикс, завтра — любой другой код, который, например, перешлет личные данные в неизвестном направлении, или же будет незаметно следить за всеми действиями пользователя, включая ввод паролей с экранной клавиатуры. В текущий момент цели группы хакеров, создавших WireLurker, неизвестны.
Что касается принципов работы зловреда и используемой им лазейки, то это корпоративные профили ПО для iOS, позволяющие крупным компаниям внедрять внутри собственной сети специализированные приложения без их обязательной отправки на рецензию в App Store.
Apple в курсе буйствующего в Китае WireLurker, но пока официальных комментариев компания не дает. [Palo Alto Networks]
44 комментариев