Появился троян, загружающий приложения на iOS-устройства и ворующий Apple ID

Артём Баусов avatar | 14
FavoriteLoading В закладки
Появился троян, загружающий приложения на iOS-устройства и ворующий Apple ID

В интернете завёлся серьёзный троян DualToy, работающий под управлением операционной системы Windows.

Исследователи из Palo Alto нашли зловредное ПО, способное незаметно загрузить мобильное приложение на любой iPhone, iPad или Android-гаджет через USB-кабель, подключённый к зараженному компьютеру.

IMG_5144

По сообщениям экспертов, «троянский конь» функционирует с января 2015 года, но ранее заразить мог лишь Android-устройства. Спустя некоторое время появилась вторая версия вредоносной программы, внедряющая приложения в iOS-девайсы, но широкое распространение получившая только сейчас.

Как происходит заражение

Попав на компьютер через Глобальную сеть, ПО устанавливает драйвера iTunes и Android Debug Bridge (ADB). Эти приложения DualToy использует для взаимодействия с любым подключённым устройством.

В процессе установки на компьютере под управлением ОС Windows образуется модуль «insapp.dll», позволяющий управлять установщиком для iOS. Вместе с вредоносным модулем создаётся файл конфигурации «insapp.ini», в котором содержится список приложений для установки на борт яблочной техники, а также конфигуратор драйверов iTunes.

IMG_5142

И на что же он ещё способен

Помимо установки нелегальных приложений DualToy способен собирать такие данные: IMEI, IMSI, ICCID, серийный номер гаджета и номер телефона. А также троян крадет данные Apple ID пользователя и посылает их на свой C&C-сервер.

Как его обнаружить

Если вы обнаружили странное приложение на своём смартфоне, проверьте на компьютере наличие файлов «AppleMobileDeviceSupport64.msi» и «AppleApplicationSupport64.msi». Это официальные файлы Apple, находящиеся изначально на C2-серверах хакеров, а затем скачивающиеся на ваш ПК.

А вот список доменных имён, которые могут быть внесены в реестр Windows:

www.zaccl[.]com
pack.1e5[.]com
rsys.topfreeweb[.]net
abc.yuedea[.]com
report.boxlist[.]info
tt.51wanyx[.]net
hk.pk2012.info
center.oldlist[.]info
up.top258[.]cn
dl.dswzd[.]com

Именно с них вирус берет необходимые приложения.

Надеемся, что вы не столкнётесь с таким трояном, но всегда нужно быть готовым. Предупреждён, значит вооружён! [Palo Alto]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (1 голосов, общий рейтинг: 5.00 из 5)
undefined
iPhones.ru
Все происходит без участия и ведома пользователя.
Прокомментировать

🙈 Комментарии 14

  1. André Noir avatar
    André Noir14 сентября 2016
    0

    То есть Мак-пользователем этот вирус не страшен?

    Артём Баусов avatar
    Артём Баусов14 сентября 2016
    0

    @André Noir, на маках нет exe-файлов, используемых в Windows

  2. Evgeniy Kiselev avatar
    Evgeniy Kiselev15 сентября 2016
    2

    однако windows users, пока что в большинстве…

    supchik avatar
    supchik15 сентября 2016
    0

    @Evgeniy Kiselev, пожелаем им удачи

  3. Killer Killerovich avatar
    Killer Killerovich15 сентября 2016
    0

    Одна из причин, по которой я снес Windows и перешел на Ubuntu, привык к последней, а потом купил MakBook Air и не парюсь

    Artem Borisov avatar
    Artem Borisov15 сентября 2016
    4

    @Killer Killerovich, >> MakBook

    у меня для Вас плохие новости

    supchik avatar
    supchik15 сентября 2016
    0

    @Artem Borisov, внимательно

    HauB avatar
    HauB15 сентября 2016
    1

    @Artem Borisov, видимо, имел ввиду хакинтош :)

  4. PixelMixel avatar
    PixelMixel15 сентября 2016
    0

    А вот какие веселые дела творятся на айфоне жены: поменял ей разбитый экран на экран с Али (б/у, но нормальный вроде), теперь во время звонков обычно телефон выходит сам из приложения Телефон (как, кнопку ведь нажать надо?), заходит куда-нибудь в другое приложение и начинает творить беспредел: удаляет контакты один за другим, пишет сообщения бредовые и т.п. Я сначала подумал, что это сенсор так барахлит и от щеки при разговоре ложные касания считает, но вот как происходит выход на рабочий стол, я пока не могу понять. Больше похоже на какой-то зловред внутри контроллеров замененного экрана =)))

    YoureWrong avatar
    YoureWrong15 сентября 2016
    0

    @PixelMixel, может новый экран своими контактами “напряг” плату к которой подключается и она начала выделываться? Вряд ли возможно что это зловред – он же тогда даже не на уровне iOS.

  5. StormBringer avatar
    StormBringer15 сентября 2016
    0

    У меня вопрос. Может быть я не правильно понимаю, но iOS изначальна закрыта для установки сторонних приложений? Как так может произойти? Джейла нет на iPhone и я всегда предполагал, что зловредное ПО не может установиться на тушку. Разве не так? Спасибо!

    Miku Hatsune avatar
    Miku Hatsune15 сентября 2016
    0

    @StormBringer, а джейл по вашему тогда откуда берется? Несколько лет назад поставить сидию можно было вообще в 1 клик через сайт

    StormBringer avatar
    StormBringer15 сентября 2016
    0

    @Miku Hatsune, т.е. iOS не более защищена, чем Андроид?

    Miku Hatsune avatar
    Miku Hatsune15 сентября 2016
    0

    @StormBringer, сложно ответить, я не специалист

    На андроид разрешено устанавливать аппы вне маркета, поэтому доверчивым пользователям можно подсунуть вирусный апк и они сами его поставят. И, наверное, у такого вируса будет больше прав чем у приложения на иос

    Но вот в плане эксплоитов, когда приложение ставится без ведома пользователя и имеет все права, может быть обе системы равны по защищенности

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь