WireLurker

WireLurker er en trojansk malware, der påvirker iPhones og Mac OSX-brugere. Selv en Win32-applikation af truslen blev opdaget. Ofrene for denne malware er brugere i Kina. Og som det normalt er tilfældet for denne type malware, blev formeringsvektoren gennem trojaniserede applikationer distribueret fra en tredjeparts applikationsbutik.

Den specifikke markedsplads, der udnyttes af WireLurker, hedder Maiyadi Application Store. Over 460 applikationer, der blev uploadet til den, blev opdaget for at bære malware-truslen. WireLurker blev forklædt som forskellige populære spil for at tiltrække så meget opmærksomhed fra de intetanende brugere som muligt. De versioner, der samlede flest downloads, udgav sig som Sims 3, International Snooker 2012, Pro Evolution Soccer 2014, Bejeweled 3 og Angry Birds.

Når WireLurker er installeret, spilder den ikke meget tid. Den kører sin beskadigede kode ganske gennemsigtigt - den leverede beskadigede eksekverbare filer, .dll og konfigurationsfiler. Det specifikke piratkopierede spil blev også lanceret. Blandt de eksekverbare filer er flere indlæst af OS som startdæmoner, der hver udfører en anden opgave. Én lanceringsdemon håndterer kommunikationen med Command-and-Control (C2, C&C) serveren, kontrollerer for nyere versioner, og hvis sådan er tilgængelig, downloader den en opdateringspakke og kører et lukket shell-script for at opdatere sig selv. De mere sofistikerede versioner af WireLurer anvender en lanceringsdemon, der downloader iOS-applikationer underskrevet med virksomhedscertifikater. Kommunikation med C & C-serveren blev også nu tilpasset krypteret.

WireLurker kan inficere iOS-enheder, der er tilsluttet et allerede kompromitteret system via en USB-forbindelse. De efterfølgende handlinger af malware bestemmes derefter af, om den tilsluttede enhed er jailbroken eller ej. Kontrollen udføres ved at forsøge at etablere en forbindelse til AFC2-tjenesten på enheden. Hvis det lykkes, ville det indikere, at enheden var fængslet. I så fald tager WireLurker visse applikationer fra enheden, taber dem på den tilsluttede Mac og pakker dem om med malware-snoede filer. De modificerede applikationer installeres derefter tilbage til enheden via iTunes-protokoller implementeret af biblioteket ' libimobiledevice '. Den beskadigede kode, der leveres til den jailbroken enhed, kan derefter udføres for at få forskellige data, såsom serienummer, telefon, modelnummer, Apple ID, UDID, diskbrugsinformation, enhedstype og versionnavn. De stjålne data exfiltreres til C2-serveren ledsaget af WireLurker-statusoplysninger.

Hvad angår Win32-versionen, har den et internt filnavn, der, når det oversættes fra kinesisk, betyder grøn IPA-installationsprogram. Som navnet antyder, installerer det to IPA-filer (Apple Application-arkiver) - den ene er en legitim applikation kaldet AVPlayer, der fungerer som en lokkefugle, mens den anden indeholder midlerne til Command-and-Control-kommunikation med to forskellige servere.