事件跟踪:关于iOS平台木马WireLurker的分析

14155369986336.png!small

 

最近出现了一款名为WireLurker的针对iPhone和Mac OSX平台的恶意软件。也许大家对这个事情已经并不陌生,但刨根问底总是必要的,现在让我们一起来看看细节吧。

这个能够感染iPhone和Mac OSX平台的恶意软件,名为WireLurker。网络安全公司Palo Alto发现了这一威胁,并发布了一份详细的报告。卡巴斯基将WireLurker使用的可疑文件以以下病毒名称予以拦截:

Mac OS X:

苹果 iOS:

Windows:

2014年7月,我们发现WireLurker恶意软件会连接到位于香港的C&C(远程命令和控制)服务器。在接下去的几个月中这些连接依然存在,只是连接数量始终很低。

初现江湖

有趣的是,今年早些时候某些论坛上已经有关于这个病毒的讨论了,尤其是在中文和韩文的论坛,在某些英文论坛中也有。

1a222941e3e30379

7月14日,有一位名为SirBlanton的用户在某中文论坛上提到了这个恶意软件:

f48c2c147334c981

这个帖子是发布在"bbs.maiyadi.com"这个论坛上的,非常有趣,"maiyadi.com"下另一个子域名被恶意软件用作了C&C服务器(见下文)。

5月29日,某个韩国论坛也提到了被此病毒感染后的一台Mac OS X的反常行为:

1d66473656ec8ae0

Mac OS X和苹果iOS并非能够传播病毒的所有平台。Alienvault公司的Jaime Blasco发现了一个与之相关的Win32恶意程序。

WireLurker Windows组件

文件名: 万能视频播放器 2.21.exe md5: fb4756b924c5943cdb73f5aec0cb7b14

fb64bf45ae27ed3a

如果时间戳没有被改动过,程序应该编译于2014年3月:

214cc36f98643bca

完整元数据集:

文件的内部名称为"绿色IPA安装器"。这应该是用来在iOS设备上安装IPA文件的程序。

程序中暴露了一条调试路径:

程序包含了两个IPA(Apple程序应用文件),一个叫做"AVPlayer",另一个叫做"apps"。
AVPlayer.app似乎是一个正规的iOS应用,被攻击者用来伪装。

这是程序的icon图标:

3839135a5e533ced

AVPlayer似乎是由一位"[email protected]"开发者开发的。

a9c08bee3cbaf50f

第二个IPA程序更加有趣:

e15e4a2eb6dff904

 

程序似乎是于2014年3月创建。"apps"程序与臭名昭著的"comeinbaby[.]com"进行通信:

0e35d688d4019a72

而sfbase.dylib与另一个C&C进行通信:

4d66a759d211643b

这个Win32程序的目的是应该就是为了确保Windows用户也会将恶意软件感染到iOS设备。

KSN检测到的情况

卡巴斯基安全网络(KSN)是卡巴斯基的用来收集、检测可疑程序的数据库。下图显示的是在OSX上检测到的WireLurker

4bd4f69049d364a1

如图所示,超过6成的感染来自中国。

总结

这次事件又是一记警钟,提醒我们无论使用的是什么平台,使用盗版(非正规)软件依旧存在风险。从非官方来源下载应用程序,比如从别的应用市场,文件分享网站或者通过种子或其他P2P文件分享网络下载都会增加感染恶意软件的风险。

在Mac OS X设备中也应该要安装反病毒软件,不仅是Mac OS X设备可能被感染病毒,WireLurker的案例中,病毒能从你的Mac传播到你的iPhone。

作为第一道防线,Mac OS X用户们应该检查”安全性与隐私”中的设置是安全的。建议开启Gatekeeper功能(”系统偏好设置”>”安全性与隐私”,在”允许从以下位置下载的应用程序”中,选中”App Store和被认可的开发者”,更加详细的信息参见此)。

您亦可参考卡巴斯基对Mac安全的指导:关于Mac安全的10条小贴士

更多信息:

C&C服务器:

MD5校验值: