Det er sjelden det trenger gjennom skadevare til Apple iOS-enheter. Når det først skjer, så skyldes det ofte at det har blitt tatt i bruk oppsiktsvekkende og litt spektakulære metoder.
I går kunngjorde det amerikanske IT-sikkerhetsselskapet Palo Alto Network et slikt funn. Skadevaren, om har fått navnet WireLurker, bruker OS X som springbrett for å infisere iOS-enheten.
Skadevaren skal i alle fall så langt primært ha infisert kinesiske enheter via en tredjepart applikasjonsbutikk for Mac, Maiyadi App Store. I alt 467 OS X-applikasjoner skal ha ha blitt «trojanisert». Disse applikasjonene har blitt lastet ned mer enn 350 000 ganger av flere hundre tusen brukere de siste seks månedene. Den første observasjonen skal ha blitt gjort av en utvikler allerede i juni.
Når WireLurker har blitt installert på en Mac, overvåker den alle iOS-enheter som kobles til via USB. Deretter installerer den automatisk generert skadevare eller tredjepartsapplikasjoner som lastes ned, på iOS-enheten, uavhengig av jailbreaking eller ikke. Men det er tilsynelatende begrenset hvor mye skade som kan gjøres på enheter som ikke er «jailbroken».
Ifølge Palo Alto Network har forskere demonstrert lignende metoder for å angripe ikke-jailbreakede enheter tidligere. Men WireLurker kombinerer flere teknikker enn tidligere forsøk og utgjør en helt ny form for iOS-trussel. Blant annet tar den i bruk en svært kompleks kodestruktur, flere komponentversjoner og spesialtilpasset kryptering som gjør den vanskelig analysere.
Palo Alto Network mener dessuten at dette er den første, kjente skadevarefamilien som kan infisere installerte iOS-applikasjoner på tilsvarende måte som det et virus ville ha gjort. Bare én gang tidligere skal det ha blitt oppdaget en skadevarefamilie som infiserer iOS-enheter gjennom OS X og USB.
WireLurker skal dessuten være den første skadevaren som automatisk genererer ondsinnede iOS-applikasjoner gjennom binærfil-erstatning.
Det er klart at skadevare i alle fall kan laste brukerdata opp til en ekstern server. Men nøyaktig hva som er målet med WireLurker, er uklart. Skadevaren kan oppdatere seg selv og er stadig under utvikling.
– WireLurker ligner ikke på noe vi noen gang har sett når det gjelder skadevare til Apple iOS og OS X. Teknikkene den bruker antyder at skurkene er i ferd med å bli mer sofistikerte når det gjelder å utnytte noen av verdens mest kjente desktop- og mobilplattformer, sier Ryan Olson, etterretningsdirektør ved Palo Alto Networks, som legger til at selskapets egne sikkerhetsløsninger nå beskytter mot denne formen for skadevare.
En omfattende rapport om WireLurker, skrevet av Claud Xiao, sikkerhetsforskeren som oppdaget WireLurker, er tilgjengelig via denne siden.
Oppdatert: Lagt til detalj om at det er begrenset hvilken skade WireLurker kan gjøre på enheter som ikke er «jailbroken».
Les også:
- [14.11.2014] – «Masque Attack» ikke så farlig
- [11.11.2014] Advarer mot ny type iOS-angrep