WireLurker
WireLurker ist eine Trojaner-Malware, die iPhones und Mac OSX-Benutzer betrifft. Sogar eine Win32-Anwendung der Bedrohung wurde erkannt. Die Opfer dieser Malware sind Benutzer in China. Und wie es normalerweise bei dieser Art von Malware der Fall ist, erfolgte der Ausbreitungsvektor über trojanisierte Anwendungen, die von einem Anwendungsspeicher eines Drittanbieters verteilt wurden.
Der von WireLurker genutzte Marktplatz heißt Maiyadi Application Store. Über 460 hochgeladene Anwendungen wurden erkannt, um die Malware-Bedrohung zu tragen. WireLurker wurde als verschiedene beliebte Spiele getarnt, um die ahnungslosen Benutzer so aufmerksam wie möglich zu machen. Die Versionen, die die meisten Downloads angehäuft haben, waren Sims 3, International Snooker 2012, Pro Evolution Soccer 2014, Bejeweled 3 und Angry Birds.
Nach der Installation verschwendet WireLurker nicht viel Zeit. Es führt seinen beschädigten Code ziemlich transparent aus - es lieferte beschädigte ausführbare Dateien, DLLs und Konfigurationsdateien. Das spezielle Raubkopienspiel wurde ebenfalls gestartet. Unter den ausführbaren Dateien werden mehrere vom Betriebssystem als Startdämonen geladen, die jeweils eine andere Aufgabe ausführen. Ein Startdämon übernimmt die Kommunikation mit dem Command-and-Control-Server (C2, C & C) und sucht nach neueren Versionen. Wenn solche verfügbar sind, lädt er ein Updater-Paket herunter und führt ein beiliegendes Shell-Skript aus, um sich selbst zu aktualisieren. Die anspruchsvolleren Versionen von WireLurer verwenden einen Startdämon, der iOS-Anwendungen herunterlädt, die mit Unternehmenszertifikaten signiert sind. Die Kommunikation mit dem C & C-Server wurde jetzt ebenfalls benutzerdefiniert verschlüsselt.
WireLurker kann iOS-Geräte infizieren, die über eine USB-Verbindung mit einem bereits gefährdeten System verbunden sind. Die nachfolgenden Aktionen der Malware werden dann dadurch bestimmt, ob das verbundene Gerät einen Jailbreak aufweist oder nicht. Die Überprüfung wird durchgeführt, indem versucht wird, eine Verbindung mit dem AFC2-Dienst auf dem Gerät herzustellen. Wenn dies erfolgreich ist, wird angezeigt, dass das Gerät einen Jailbreak aufweist. In diesem Fall nimmt WireLurker bestimmte Anwendungen vom Gerät, legt sie auf dem angeschlossenen Mac ab und packt sie mit Malware-Dateien neu. Die geänderten Anwendungen werden dann über iTunes-Protokolle, die von der Bibliothek ' libimobiledevice ' implementiert wurden, wieder auf dem Gerät installiert . Der beschädigte Code, der an das Gerät mit Jailbreak gesendet wird, kann dann ausgeführt werden, um verschiedene Daten wie Seriennummer, Telefon, Modellnummer, Apple ID, UDID, Informationen zur Datenträgernutzung, Gerätetyp und Versionsname abzurufen. Die gestohlenen Daten werden zusammen mit den WireLurker-Statusinformationen auf den C2-Server übertragen.
Die Win32-Version hat einen internen Dateinamen, der bei der Übersetzung aus dem Chinesischen Green IPA-Installationsprogramm bedeutet. Wie der Name schon sagt, werden zwei IPA-Dateien (Apple Application Archives) installiert - eine ist eine legitime Anwendung namens AVPlayer, die als Lockvogel dient, während die andere die Mittel für die Command-and-Control-Kommunikation mit zwei verschiedenen Servern enthält.
