WireLurker
WireLurker is een Trojan-malware die iPhones en Mac OSX-gebruikers treft. Zelfs een Win32-toepassing van de dreiging werd gedetecteerd. De slachtoffers van deze malware zijn gebruikers in China. En zoals gewoonlijk het geval is voor dit type malware, was de verspreidingsvector via Trojanized-applicaties die werden gedistribueerd vanuit een externe applicatie-store.
De specifieke markt die door WireLurker wordt geëxploiteerd, wordt Maiyadi Application Store genoemd. Er werd gedetecteerd dat meer dan 460 applicaties die ernaar werden geüpload de malwarebedreiging bevatten. WireLurker was vermomd als verschillende populaire spellen om zoveel mogelijk aandacht te trekken van de nietsvermoedende gebruikers. De versies met de meeste downloads deden zich voor als de Sims 3, International Snooker 2012, Pro Evolution Soccer 2014, Bejeweled 3 en Angry Birds.
Eenmaal geïnstalleerd, verspilt WireLurker niet veel tijd. Het voert zijn beschadigde code vrij transparant uit - het leverde beschadigde uitvoerbare bestanden, .dll- en configuratiebestanden op. Het specifieke illegale spel werd ook gelanceerd. Van de uitvoerbare bestanden worden er verschillende door het besturingssysteem geladen als startdaemons, die elk een andere taak uitvoeren. Een opstartdaemon zorgt voor de communicatie met de Command-and-Control (C2, C&C) server, controleert op nieuwere versies, en als die beschikbaar zijn, downloadt het een updater-pakket en voert het een ingesloten shellscript uit om zichzelf bij te werken. De meer geavanceerde versies van WireLurer gebruiken een startdaemon die iOS-applicaties downloadt die zijn ondertekend met bedrijfscertificaten. Ook de communicatie met de C&C server werd nu op maat versleuteld.
WireLurker kan iOS-apparaten infecteren die zijn aangesloten op een reeds gecompromitteerd systeem via een USB-verbinding. De daaropvolgende acties van de malware worden vervolgens bepaald door of het aangesloten apparaat al dan niet gejailbreakt is. De controle wordt uitgevoerd door te proberen een verbinding tot stand te brengen met de AFC2-service op het apparaat. Als het lukt, geeft dit aan dat het apparaat gejailbreakt is. In dat geval haalt WireLurker bepaalde applicaties van het apparaat, zet ze neer op de aangesloten Mac en verpakt ze opnieuw met malware-geregen bestanden. De gewijzigde applicaties worden vervolgens weer op het apparaat geïnstalleerd via iTunes-protocollen die zijn geïmplementeerd door de ' libimobiledevice' -bibliotheek. De beschadigde code die aan het gejailbreakte apparaat wordt afgeleverd, kan vervolgens worden uitgevoerd om verschillende gegevens te verkrijgen, zoals serieel, telefoonnummer, modelnummer, Apple ID, UDID, schijfgebruiksinformatie, apparaattype en versienaam. De gestolen gegevens worden naar de C2-server geëxfiltreerd, vergezeld van WireLurker-statusinformatie.
Wat betreft de Win32-versie, deze heeft een interne bestandsnaam die, wanneer vertaald uit het Chinees, Groen IPA-installatieprogramma betekent. Zoals de naam al doet vermoeden, installeert het twee IPA-bestanden (Apple Application-archieven) - de ene is een legitieme applicatie genaamd AVPlayer die als lokaas dient, terwijl de andere de middelen bevat voor Command-and-Control-communicatie met twee verschillende servers.
