Нова шкідлива програма для iOS може заражати пристрою без jailbreak

Ми хочемо попередити наших користувачів про нової шкідливої програми для iOS, яка отримала назву WireLurker і виявляється AV-продуктами ESET як iOS/WireLurker.A. Компанія Palo Alto Networks була першою, хто повідомив про даної шкідливої програми і механізми її поширення. Основним вектором зараження iDevice є скомпрометовані комп'ютери під управлінням OS X. У свою чергу компрометація OS X здійснюється через шкідливі програми, які були розміщені в сторонньому магазині додатків OS X під назвою «Maiyadi App Store». Ці компоненти шкідливої програми для OS X виявляються нами як OSX/WireLurker.A.



Зараження iOS відбувається при підключенні пристрою через USB-інтерфейс до скомпрометированному комп'ютера під управлінням OS X. Для цього шкідлива програма використовує спеціальну бібліотеку libimobiledevice, яка надає можливість віддаленої роботи з iOS через USB. Потрібно відзначити, що для запуску модуля шкідливої програми, який встановить систему сервіс libimobiledevice, він повинен отримати максимальні права root, що виключено у разі використання користувачем стандартної системи безпеки OS X. Ні OSX/WireLurker.A ні iOS/WireLurker.A не використовують експлойти для отримання прав root в iOS і OS X.

Ключовою можливістю OSX/WireLurker.A є здатність заражати без jailbreak iOS. Використовуючи вищезазначену бібліотеку і механізм відомий як «enterprise provisioning», він здійснює установку в систему додатків в форматі IPA. У такому форматі для iOS поставляються програми, які можна встановити в систему в обхід App Store. Але для цього воно має бути підписана цифровим сертифікатом, виданим Apple, що і було зроблено зловмисниками (але навіть при такому сценарії розвитку подій, користувач повинен підтвердити установку програми на iOS). На даний момент сертифікат вже був відкликаний компанією.

Apple was aware of malicious software available from a download site aimed at users in China, and we've blocked the identified apps to prevent them from launching. As always, we recommend that users download and install software from trusted sources.
Apple.


Рис. Інформація про відкликаному цифровому сертифікаті (\Payload\PPAppInstall_qudaobao.app\embedded..mobileprovision).


Рис. Частина файлу embedded..mobileprovision, використовуваного для створення профілю enterprise provisioning в iOS.

У разі присутності В системі jailbreak, OSX/WireLurker.A виробляє установку в файлову систему iOS шкідливої бібліотеки sfbase.dylib (iOS/WireLurker.A). Доступ до файлової системи iOS при цьому здійснюється з використанням сервісу AFC2, який функціонує на пристрої з jailbreak і має права користувача в системі, що дозволяє йому прямий доступ до файлової системи.

Ми рекомендуємо не використовувати сторонні магазини додатків для OS X, в яких відсутня перевірка безпеки розміщуваних додатків, а також не використовувати jailbreak iOS, так як він дискредитує систему безпеки всього пристрою і відкриває повний доступ до файлової системи в обхід механізмів безпеки iOS.

image
be secure.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.