Исследователи из Palo Alto Networks (через The New York Times) опубликовали исследовательскую работу о WireLurker, новом семействе вредоносных программ, которое в течение последних шести месяцев поражало системы Mac OS и iOS. Исследователи утверждают, что WireLurker, нацеленный на пользователей в Китае, «открывает новую эру вредоносных программ, атакующих настольные и мобильные платформы Apple».

Вредоносная программа WireLurker является «крупнейшей по масштабу» среди троянизированных вредоносных программ и способна атаковать iOS-устройства через OS X с использованием USB. Сообщается, что она может заражать приложения iOS, подобно традиционному вирусу, и является первой вредоносной программой, способной устанавливать сторонние приложения на устройства iOS без джейлбрейка «через корпоративное предоставление».

На данный момент WireLurker был обнаружен в 467 приложениях OS X в магазине приложений Maiyadi App Store, который является сторонним магазином приложений для Mac в Китае. Приложения были загружены 356 104 раза, заразив сотни тысяч пользователей.

По словам исследователей, WireLurker ищет iOS-устройства, подключенные через USB к зараженному Mac, и устанавливает на них вредоносные сторонние приложения даже без джейлбрейка.

WireLurker отслеживает любые iOS-устройства, подключенные через USB к зараженному компьютеру OS X, и устанавливает загруженные сторонние приложения или автоматически сгенерированные вредоносные приложения на устройство, независимо от того, был ли он джейлбрейкнут. Именно поэтому мы называем его «wire lurker». Исследователи демонстрировали аналогичные методы атаки на устройства без джейлбрейка ранее; однако эта вредоносная программа сочетает в себе ряд методов для успешной реализации новой угрозы для всех iOS-устройств.

WireLurker демонстрирует сложную структуру кода, несколько версий компонентов, скрытие файлов, обфускацию кода и пользовательскую шифрацию для противодействия реверс-инжинирингу. В этом техническом отчете мы объясняем, как распространяется WireLurker, детали прогрессии вредоносной программы и особенности ее работы.

После установки WireLurker может собирать информацию с iOS-устройств, такую как контакты и iMessages, и способен запрашивать обновления у злоумышленников. Сообщается, что он находится на стадии «активной разработки» с неясной «конечной целью».

Palo Alto Neworks предлагает несколько рекомендаций по избежанию зараженных WireLurker приложений, включая антивирусный продукт и ограничения на установку из Mac App Store, которые предотвращают установку приложений от неизвестных сторонних разработчиков. Пользователям следует избегать загрузки и запуска Mac-приложений или игр из сторонних магазинов приложений, сайтов загрузки или других ненадежных источников, а также следует избегать джейлбрейка.

Необходимо также избегать неизвестных профилей корпоративного предоставления, а пользователям следует избегать сопряжения своих iOS-устройств с неизвестными компьютерами или зарядки от ненадежных или неизвестных источников.

Palo Alto Networks уведомила Apple о вредоносной программе, но представитель Apple отказался от комментариев.

Обновление: Apple выпустила заявление для iMore по этому вопросу:

«Мы осведомлены о вредоносном программном обеспечении, доступном с сайта загрузки, нацеленном на пользователей в Китае», — сообщил представитель Apple изданию iMore, — «и мы заблокировали выявленные приложения, чтобы предотвратить их запуск. Как всегда, мы рекомендуем пользователям загружать и устанавливать программное обеспечение из доверенных источников».