WireLurker

O WireLurker é um malware Trojan que afeta usuários de iPhones e Mac OSX. Até mesmo um aplicativo Win32 da ameaça foi detectado. As vítimas desse malware são usuários localizados na China. E, como geralmente é o caso para esse tipo de malware, o vetor de propagação foi através de aplicativos Trojanized distribuídos de uma loja de aplicativos de terceiros.

O mercado específico explorado pela WireLurker é chamado Maiyadi Application Store. Mais de 460 aplicativos carregados nele foram detectados como portadores da ameaça de malware. WireLurker foi disfarçado como vários jogos populares para atrair o máximo possível a atenção dos usuários desavisados. As versões que mais baixaram foram se passando por Sims 3, International Snooker 2012, Pro Evolution Soccer 2014, Bejeweled 3 e Angry Birds.

Uma vez instalado, o WireLurker não perde muito tempo. Ele executa seu código corrompido de forma bastante transparente - ele entrega executáveis, .dll e arquivos de configuração corrompidos. O jogo pirata específico também foi lançado. Entre os arquivos executáveis, vários são carregados pelo sistema operacional como daemons de inicialização, cada um executando uma tarefa diferente. Um daemon de inicialização lida com a comunicação com o servidor Command-and-Control (C2, C&C), verifica se há versões mais recentes e, se disponível, baixa um pacote de atualização e executa um script de shell incluído para se atualizar. As versões mais sofisticadas do WireLurer empregam um daemon de inicialização que baixa aplicativos iOS assinados com certificados corporativos. A comunicação com o servidor C&C também estava sendo criptografada de forma personalizada.

O WireLurker pode infectar dispositivos iOS conectados a um sistema já comprometido por meio de uma conexão USB. As ações subsequentes do malware são determinadas pelo fato de o dispositivo conectado estar desbloqueado ou não. A verificação é realizada tentando estabelecer uma conexão com o serviço AFC2 no dispositivo. Se for bem-sucedido, isso indicará que o dispositivo foi desbloqueado. Nesse caso, o WireLurker pega certos aplicativos do dispositivo, coloca-os no Mac conectado e reembala-os com arquivos com malware. Os aplicativos modificados são então instalados de volta no dispositivo por meio de protocolos do iTunes implementados pela biblioteca ' libimobiledevice '. O código corrompido entregue ao dispositivo desbloqueado pode então ser executado para obter vários dados, como serial, telefone, número do modelo, Apple ID, UDID, informações de uso do disco, tipo de dispositivo e nome da versão. Os dados roubados são exfiltrados para o servidor C2, acompanhados pelas informações de status do WireLurker.

Já a versão Win32 possui um nome de arquivo interno que, traduzido do chinês, significa instalador Green IPA. Como o próprio nome sugere, ele instala dois arquivos IPA (arquivos de aplicativos da Apple) - um é um aplicativo legítimo chamado AVPlayer que serve como um engodo, enquanto o outro contém os meios para comunicação de comando e controle com dois servidores diferentes.