WireLurker
WireLurker est un malware cheval de Troie affectant les utilisateurs d'iPhones et de Mac OSX. Même une application Win32 de la menace a été détectée. Les victimes de ce malware sont des utilisateurs situés en Chine. Et comme c'est généralement le cas pour ce type de malware, le vecteur de propagation se fait via des applications Trojan distribuées à partir d'un magasin d'applications tiers.
Le marché spécifique exploité par WireLurker s'appelle Maiyadi Application Store. Plus de 460 applications qui y ont été téléchargées ont été détectées comme porteuses de la menace de malware. WireLurker a été déguisé en divers jeux populaires afin d'attirer autant que possible l'attention des utilisateurs sans méfiance. Les versions qui ont accumulé le plus de téléchargements se faisaient passer pour les Sims 3, International Snooker 2012, Pro Evolution Soccer 2014, Bejeweled 3 et Angry Birds.
Une fois installé, WireLurker ne perd pas beaucoup de temps. Il exécute son code corrompu de manière assez transparente - il a livré des fichiers exécutables, .dll et de configuration corrompus. Le jeu piraté spécifique a également été lancé. Parmi les fichiers exécutables, plusieurs sont chargés par le système d'exploitation en tant que démons de lancement, chacun effectuant une tâche différente. Un démon de lancement gère la communication avec le serveur Command-and-Control (C2, C&C), vérifie les versions plus récentes, et si une telle est disponible, il télécharge un package de mise à jour et exécute un script shell inclus pour se mettre à jour. Les versions plus sophistiquées de WireLurer emploient un démon de lancement qui télécharge les applications iOS signées avec des certificats d'entreprise. La communication avec le serveur C&C était également en cours de chiffrement personnalisé.
WireLurker peut infecter les appareils iOS connectés à un système déjà compromis via une connexion USB. Les actions ultérieures du malware sont ensuite déterminées par le fait que l'appareil connecté est jailbreaké ou non. La vérification est effectuée en essayant d' établir une connexion avec le service AFC2 sur l'appareil. S'il réussit, cela indiquerait que l'appareil a été jailbreaké. Dans ce cas, WireLurker prend certaines applications de l'appareil, les dépose sur le Mac connecté et les reconditionne avec des fichiers contenant des logiciels malveillants. Les applications modifiées sont ensuite réinstallées sur l'appareil via les protocoles iTunes implémentés par la bibliothèque « libimobiledevice ». Le code corrompu livré à l'appareil jailbreaké peut ensuite être exécuté pour obtenir diverses données telles que le numéro de série, le téléphone, le numéro de modèle, l'identifiant Apple, l'UDID, les informations d'utilisation du disque, le type d'appareil et le nom de la version. Les données volées sont exfiltrées vers le serveur C2, accompagnées des informations d'état de WireLurker.
Quant à la version Win32, elle a un nom de fichier interne qui, une fois traduit du chinois, signifie programme d'installation Green IPA. Comme son nom l'indique, il installe deux fichiers IPA (Apple Application archives) - l'un est une application légitime appelée AVPlayer qui sert de leurre tandis que l'autre contient les moyens de communication Command-and-Control avec deux serveurs différents.
