•  
•  
•  
•  

4 Reacties Bewaren

WireLurker installeert via een besmette Mac een app met een trojan naar de iPhone. Vooralsnog vooral in China, omdat de geïnfecteerde Mac-applicaties uit third-party app-stores komen. Maar de malware evolueert snel en neemt inmiddels niet-gejailbreakte systemen op de korrel.

Voor de doorsnee gebruiker is het door beveiligingsbedrijf Palo Alto Networks ontdekte WireLurker op dit moment geen probleem, want het verspreidt zich via Mac-applicaties in Chinese App Stores. Vervolgens komt de malware enkel binnen bij gejailbreakte toestellen als ze worden aangekoppeld.

Maar de malware wordt constant bijgewerkt, en een nieuwe versie gebruikt een verontrustend trucje om zichzelf binnen te smokkelen bij normale iPhones. Dat doet het door enterprise provisioning te misbruiken.

Snelle evolutie

WireLurker is geen klassiek voorbeeld van een malafide mobiele app die is uitgerust met een trojan. De malware komt mee met Mac-applicaties en wacht net zolang tot een gebruiker zijn of haar iPhone fysiek koppelt aan de Mac om zichzelf vervolgens de iPhone op te pompen. Een soortgelijke methode wordt ook gebruikt door malware die zich aan Windows-applicaties hecht om Android-toestellen te besmetten.

Dit zal je bekend voorkomen: WireLurker is aangetroffen in honderden Chinese OS X-applicaties, zoals populaire games als The Sims en Angry Birds. Deze legitiem ogende apps waar een trojan in is verpakt zijn meer dan 350.000 keer gedownload. Palo Alto vermoedt daarom dat honderdduizenden gebruikers inmiddels zijn besmet. Met de nieuwere iteraties, die nog veel venijniger zijn dan de originele WireLurker die in juni werd aangetroffen, is de malware een bedreiging geworden voor Apple-systemen die niet bijgewerkt zijn met de recentste updates.

Legitieme app vervangen

Op een besmette Mac gedraagt de malware zich als launch-daemon en haalt het updates binnen. Een van die nieuwere versies van WireLurker downloadt iOS-applicaties die een enterprise-certificaat hebben. Op deze manier kan de malware ook binnenkomen bij niet-gejailbreakte iPhones. WireLurker zoekt vervolgens naar een aantal legitieme apps waarvan hij op de ondersteunende Mac een trojanversie heeft om de orginele app te overschrijven.

Ook maakt de malware een locatie aan op de Mac waar nieuwe iOS-applicaties die van een trojan zijn voorzien worden bewaard. WireLurker houdt dus al rekening met de verspreiding via toekomstige applicaties. Het overschrijven van de legitieme versie van de app gaat overigens niet ongemerkt: "Bij de eerste poging om een WireLurker-applicatie te draaien op iOS, worden gebruikers geprompt met de vraag om een third-party applicatie te openen", stellen de onderzoekers in het rapport.

Gebruiker laat malware binnen

Dat dialoogvenster vermeldt de ontwikkelaar en de Chinese naam van de app. Dat zou alarmbellen moeten doen rinkelen bij menig gebruiker. Accepteert de gebruiker de Chinese enterprise provisioning wel, dan is hij of zij wel behoorlijk de Sjaak. WireLurker zuigt informatie op om door te spelen naar een C&C en dat gaat in de huidige versie zelfs versleuteld. De app functioneert verder normaal, zodat de ongelukkige gebruiker die de app heeft goedgekeurd geen argwaan krijgt.

Het rapport van Palo Alto zegt niets over de exploits die worden gebruikt om binnen te komen. Het gaat blijkbaar niet om nieuwe kwetsbaarheden in OS X of iOS die worden misbruikt om de malware af te leveren, maar om reeds gepatchte gaten. Wat suggereert dat ook gebruikers die een up-to-date systeem hebben, zich geen zorgen hoeven te maken.

Het accepteren van de WireLurker-applicatie zorgt ervoor dat enterprise provisioning wordt gebruikt. Waarmee vervolgens niet-legitieme apps worden herkend als legitiem.

Foto: Palo Alto Networks

Lees meer over

• mac
• trojan
• Mac OS X
• iPhone
• iOS