Nem véletlen, hogy ha a mobilokat fenyegető veszélyekről esik szó, először mindenki az androidos készülékekre gondol. Csakhogy az Apple iOS-e sem rezisztens a károkozókkal szemben. A WireLurker nevű károkozó például kifejezetten az iOS-alapú készülékekre specializálódott.

Kiderült, hogy a közelmúltig legalább 350 ezer olyan alkalmazást töltöttek felhasználók a iPhone-ra vagy iPadre, amely tartalmazza a WireLurkert. Először azt gondolták, hogy a kártevő csak Mac OS X-es gépekről kerülhet a mobilokra. Ezért aztán némileg meglepetést okozott, amikor kiderült: a WireLurker Windowsról is fertőz – írta a Biztonságportál.

Ezt is Kínából kaptuk

A WireLurker első változata április végén bukkant fel különböző kínai alkalmazásboltokban: az adott alkalmazásbolt kliens szoftverén keresztül fertőzött. Már akkor képes volt egy vezérlőszerverrel kommunikálni, de még titkosítatlanul.

A néhány héttel később felbukkanó második variánsa már teljesen hagyományos iOS appokat használt fel a fertőzéshez, de kizárólag a jailbreakelt készülékeket veszélyeztette.

Augusztusban jelent meg a harmadik kiadás, amely már jailbreak nélkül is tudott kellemetlen meglepetéseket okozni. Ez a változat már titkosított csatornán kommunikált a vezérlőszerverével.

És hogy miért csak most fedezték fel? Mert olyan rejtő technikát használt, amik miatt a víruskeresők nem ismerték fel: szeptember végéig egyetlen vírusvédelmi alkalmazás sem tudta kiszűrni, pedig a kutatók addigra már öt különböző fertőzött fájlt, bennük mindhárom variánst feltöltöttek a VirusTotalra.

A Palo Alto Networks kutatása azt mutatta ki, hogy a WireLurker legizmosabb változata elsősorban a Maiyadi App Store nevű, kínai alkalmazásbolt szoftvereivel terjedt. A boltban 467 darab fertőzött, Mac OS X-kompatibilis alkalmazást találtak. Ma már windowsos példányok példányai is terjednek, de ezek számáról egyelőre nincsenek hivatalos információk.

Asztalról a mobilba

A WireLurker a működését két összetevője határozza meg. Az egyik desktop környezetben (asztali gép, notebook), míg a másik az iOS-kompatibilis készülékben dolgozik. A folyamat első lépése az, amikor a felhasználó egy alkalmazásboltból vagy egy weboldalról letölti és telepíti a fertőzött alkalmazás – általában egy manipulált játékprogram – maces vagy windowsos változatát.

A WireLurker már ekkor aktivizálódik. Kapcsolódik egy távoli kiszolgálóhoz, amelyről konfigurációs adatokat, illetve egyéb fájlokat szerez be, amik akár tanúsítvánnyal ellátott mobil alkalmazásokhoz is tartozhatnak.

Ezt követően meglapul a háttérben, ám közben folyamatosan monitorozza a számítógéphez csatlakoztatott eszközöket. Ha iOS készülék jelenlétét észleli, megvizsgálja, hogy az jailbreakelt-e. Ha nem jailbreakelt, telepít rá egy alkalmazást, ha viszont jailbreakt, lement néhány gyakran használt szoftvert, amiknek a fájljait kompromittálja (megfertőzi), majd visszatelepíti a mobilra.

Utána a készülékben tárolt telefonkönyvből legyűjti a neveket, telefonszámokat, az Apple ID-t, valamint a szöveges üzeneteket, melyeket titkosítottan feltölti a vezérlőszerverére.

Tehát a WireLurker lényegében profi adattolvaj.

A kalózszoftverek vonzzák a vírusterjesztőket

Téves az a közvélekedés, hogy egy Mac kevésbé van kitéve a kártékony programoknak, mint a windowsos gépek. A támadók valóban kevésbé érdeklődnek a Macek iránt, de azok támadási felülete legalább akkora, mint a windowsos vagy bármely más modern operációs rendszert futtató gépeké – állította a WireLurker kapcsán Jared DeMott, a Bromium Labs biztonsági kutatója. – A károkozókat manapság főleg kalózszoftverekkel terjesztik, és főleg Kínában. Így nem véletlen, hogy ez esetben is Kínából indult a probléma.

Különösen veszélyesek a nem hivatalos alkalmazásboltok. A ThreatStream műszaki igazgatója, Greg Martin szerint ugyanis ezekben nem alkalmaznak semmiféle ellenőrzést, amit a kiberbűnözők könyörtelenül ki is használnak.

A fenti két körülmény persze némileg a védekezésben is segít: messze kell kerülni a kínai alkalmazásboltokat, amivel nagyban csökenthetjük készülékünk kitettségét a WireLurkenek. Annyit pedig mindenképpen nyerünk, hogy jobban tudatosul benünk: az iPhone és az iPad sem sebezhetetlen.

Amúgy az iOS figyelmeztet is, amikor a WireLurker települ, és onnan is feltűnhet a jelenléte, hogy új ikonok jelentek meg a készülékeken.

A probléma nem újkeletű. a Juniper Research egy tavalyi kutatása szerint a nem hivatalos alkalmazásboltok általánosan is komoly kockázati tényezővé váltak. A 2013 márciusába zárult Mobile Threat Center kutatása szerint a cég több mint 500 ilyen webhelyet azonosított egy év alatt, többségüket Kínában és Oroszországban. Az akkori kutatás szerint ezeknek a boltoknak a többsége átláthatatlan és ellenőrizhetetlen.