Przedwczoraj pojawiła się nowa rodzina szkodliwego oprogramowania o nazwie WireLurker, które może infekować urządzenia działające zarówno na Apple’owej platformie mobilnej iOS, jak i wersji komputerowej – systemie operacyjnym OS X. Palo Alto Networks, firma zajmująca się bezpieczeństwem, która odkryła to zagrożenie, wierzy, że WireLurker to początek nowej ery wzrostu liczby szkodliwego oprogramowania na Apple.
Przez wiele lat eksperci ostrzegali o nadchodzącej fali szkodliwych programów wymierzonych w systemy Apple. Z kolei zagorzali fani kalifornijskiej firmy komputerowej z Cupertino twierdzili, że ich sprzęt jest odporny na szkodliwe oprogramowanie. Rzeczywistość, jak to często bywa w takich przypadkach, jest gdzieś pośrodku: szkodliwe oprogramowanie na Apple bez wątpienia istnieje, ale nie jest tak szeroko rozpowszechnione jak to na system Windows czy Android.
„WireLurker został użyty do zainfekowania trojanem 467 aplikacji na OS X znajdujących się w Maiyadi App Store, chińskim markecie z aplikacjami na Maki, należącym do firmy trzeciej” – powiedział badacz firmy Palo Alto Networks, Claud Xiao. „W ciągu ostatnich sześciu miesięcy te 467 zainfekowanych aplikacji zostało pobrane ponad 356 104 razy i mogło dotrzeć do setek tysięcy użytkowników”.
Trzeba podkreślić, że chociaż zagrożenie to zainfekowało użytkowników tylko jednego popularnego chińskiego sklepu z aplikacjami, nie oznacza to, że nie rozprzestrzeniło się dalej.
Co ciekawe, w przeciwieństwie do większości dużych zagrożeń na iOS WireLurker może infekować urządzenia, które nie zostały poddane jailbreakowi. Jest to jeden z pięciu powodów, które skłaniają Palo Alto Networks do stwierdzenia, że pojawienie się WireLurkera może być przełomowym momentem dla krajobrazu zagrożeń dla Apple.
Kolejne cztery powody są następujące: WireLurker to operacja na szerszą skalę niż poprzednie rodziny złośliwego oprogramowania na platformę Apple’a; to tylko drugie znane zagrożenie zdolne do atakowania urządzeń iOS poprzez USB (czyli po podłączeniu ich do Twojego Maka); może automatycznie generować szkodliwe aplikacje; jest także pierwszym znanym szkodliwym oprogramowaniem infekującym aplikacje, które zostały zainstalowane w systemie iOS już wcześniej.
WireLurker infekuje system OS X oraz sam przenosi się na urządzenia z iOS za pośrednictwem USB
Sposób działania WireLurkera jest następujący: najpierw infekuje on maszyny z systemem OS X wykorzystując standardowy wektor infekcji. Następnie czeka, aż użytkownik podłączy urządzenie iOS do portu USB swojego Maka. Później zaczyna instalować szkodliwe aplikacje na urządzeniu z iOS. W szczególności wyszukuje trzy popularne aplikacje — chińską wersję serwisów eBay, PayPal i popularnego edytora zdjęć. W ostatnim kroku odinstalowuje oryginalne wersje tych aplikacji i zastępuje je szkodliwymi.
Początkowo badacze mówili, że WireLurker wciąż jest rozwijany, więc prawdopodobnie ulegnie jeszcze modyfikacjom. W związku z tym nie można w tym momencie powiedzieć, jaki jest jego prawdziwy cel. Na krótko przed publikacją ludzie Palo Alto Networks powiedzieli serwisowi Threatpost, że Apple szybko anulował szkodliwe certyfikaty WireLurkera oraz że jego autorzy całkowicie zaprzestali swojej szkodliwej działalności.
Palo Alto Networks podpowiada kilka sposobów, jak można ustrzec się przed WireLurkerem. Większość z tych porad jest skierowana dla przedsiębiorstw, ale my chcielibyśmy podsumować, jak Ty możesz ochronić swój prywatny sprzęt:
- Używaj produktu antywirusowego i dbaj, aby był aktualny.
- Dostosuj ustawienia sekcji „Ochrona i prywatność” w „Preferencjach systemowych” tak, abyś mógł pobierać aplikacje jedynie ze sklepu App Store i od zidentyfikowanych autorów.
- Nie pobieraj aplikacji z nieautoryzowanych sklepów z oprogramowaniem.
- Dbaj o aktualizacje dla iOS i OS X.
- Zachowaj czujność podczas ładowania swojego urządzenia z iOS – unikaj podłączania go do cudzych komputerów.
Badacze z Kaspersky Lab również wzięli na warsztat WireLurkera i przygotowali własną analizę, która jest dostępna w serwisie SecureList.pl. Jak już wspomnieliśmy, produkty Kaspersky Lab wykrywają to zagrożenie jako Trojan-Downloader.OSX.WireLurker.a oraz blokują je, więc jesteś bezpieczny.