WireLurker

WireLurker è un malware Trojan che colpisce iPhone e utenti Mac OSX. È stata rilevata anche un'applicazione Win32 della minaccia. Le vittime di questo malware sono gli utenti che si trovano in Cina. E come di solito accade per questo tipo di malware, il vettore di propagazione avveniva attraverso applicazioni Trojan distribuite da un negozio di applicazioni di terze parti.

Il mercato specifico sfruttato da WireLurker si chiama Maiyadi Application Store. Sono state rilevate oltre 460 applicazioni caricate per trasportare la minaccia malware. WireLurker è stato camuffato da vari giochi popolari per attirare più attenzione possibile dagli utenti ignari. Le versioni che hanno accumulato il maggior numero di download si atteggiavano a The Sims 3, International Snooker 2012, Pro Evolution Soccer 2014, Bejeweled 3 e Angry Birds.

Una volta installato, WireLurker non perde molto tempo. Esegue il suo codice danneggiato in modo abbastanza trasparente: ha fornito eseguibili corrotti, .dll e file di configurazione. È stato lanciato anche il gioco piratato specifico. Tra i file eseguibili, molti vengono caricati dal sistema operativo come demoni di avvio, ognuno dei quali esegue un'attività diversa. Un demone di avvio gestisce la comunicazione con il server Command-and-Control (C2, C&C), verifica la presenza di versioni più recenti e, se disponibile, scarica un pacchetto di aggiornamento ed esegue uno script di shell incluso per aggiornarsi. Le versioni più sofisticate di WireLurer utilizzano un demone di avvio che scarica le applicazioni iOS firmate con certificati aziendali. Anche la comunicazione con il server C&C veniva ora crittografata in modo personalizzato.

WireLurker può infettare i dispositivi iOS collegati a un sistema già compromesso tramite una connessione USB. Le azioni successive del malware vengono quindi determinate dal fatto che il dispositivo connesso sia jailbroken o meno. Il controllo viene eseguito tentando di stabilire una connessione con il servizio AFC2 sul dispositivo. Se ha successo, indicherebbe che il dispositivo è stato jailbroken. In tal caso, WireLurker prende determinate applicazioni dal dispositivo, le rilascia sul Mac connesso e le riconfeziona con file contenenti malware. Le applicazioni modificate vengono quindi reinstallate sul dispositivo tramite i protocolli iTunes implementati dalla libreria " libimobiledevice ". Il codice danneggiato consegnato al dispositivo jailbroken può quindi essere eseguito per ottenere vari dati come seriale, telefono, numero di modello, ID Apple, UDID, informazioni sull'utilizzo del disco, tipo di dispositivo e nome della versione. I dati rubati vengono esfiltrati sul server C2, accompagnati dalle informazioni sullo stato di WireLurker.

Per quanto riguarda la versione Win32, ha un nome file interno che, se tradotto dal cinese, significa programma di installazione IPA verde. Come suggerisce il nome, installa due file IPA (archivi dell'applicazione Apple): uno è un'applicazione legittima chiamata AVPlayer che funge da esca mentre l'altro contiene i mezzi per la comunicazione Command-and-Control con due server diversi.