iPhone-vírus: a játékos veszedelem

Összegyűjtöttük azokat a legfontosabb tudnivalókat, amelyek révén az iPhone és az iPad készülékek is hatékonyabban védhetők meg a vírusírók legújabb trükkjeivel szemben.
 

Amikor a mobil kártékony programok szóba kerülnek, akkor az esetek többségében az Android alapú károkozások kapják a főszerepet. Ez persze nem véletlen, hiszen a Google operációs rendszerét jóval több támadás éri, mint bármely más platformot. Ugyanakkor az Apple iOS kapcsán sem lehet kijelenteni azt, hogy teljesen immunis lenne a vírusírók trükkjeivel szemben. Ezt bizonyítja az a WireLurker nevű károkozó is, amely az iOS alapú készülékek kompromittálására termett. 

Az elmúlt napokban a WireLurker meglehetősen nagy hírverést keltett, ugyanis kiderült, hogy legalább 350 ezer példányban töltötték le a felhasználók azokat a szoftvereket, amelyek hordozták a nemkívánatos szerzeményt. Az első hírek még arról szóltak, hogy az iPhone és iPad készülékeket célkeresztbe állító kártevő Mac OS X alapú számítógépekről kerülhet fel a mobil eszközökre, azonban mostanra beigazolódott, hogy Windows alól is bekövetkezhet mindez. Mielőtt azonban szemügyre vennénk, hogy miként is működik a WireLurker, érdemes kitérni arra, hogy milyen módon fejlődött a mostani szintre.

Lapult és okosodott

A WireLurker első változata április végén bukkant fel különböző kínai alkalmazásboltokban. Ez a károkozó az adott alkalmazásbolt kliens szoftverét használta fel arra, hogy veszélyeztesse a mobilokat. Ugyan már képes volt egy vezérlőszerverrel kommunikálni, de ezt még titkosítatlanul tette. Aztán néhány héttel később feltűnt a második variánsa, amely abból a szempontból hozott nagy "előrelépést", hogy már teljesen hagyományos iOS app-okkal ügyeskedett, de kizárólag jailbreakelt készülékeken tudott károkat okozni. Aztán augusztusban elkezdte hódító útját a harmadik kiadás, amely már jailbreak nélkül is tudott kellemetlen meglepetéseket okozni, miközben a vezérlőszerverével való kommunikációja titkosítottá vált. 

Joggal merülhet fel a kérdés, hogy a kártékony program miként volt képes hónapokon keresztül rejtve maradni. Ennek egyik oka, hogy számos rejtőzködésre alkalmas technikát használ, amelyek révén a víruskeresőknek sem tűnt fel, hogy valami nincs rendben. Oly annyira nem, hogy egészen szeptember végéig egyetlen antivírus alkalmazás sem szűrte ki, pedig a kutatók öt különböző fertőzött fájlt (mind a három variánst) is feltöltöttek a VirusTotalra.

Forrás: Palo Alto Networks

A Palo Alto Networks kutatása szerint a WireLurker legizmosabb változata elsősorban a Maiyadi App Store nevű, kínai alkalmazásboltból letölthető szoftverek révén terjedt. Egészen pontosan 467 darab, Mac OS X kompatibilis alkalmazás volt fertőzött. Az már biztos, hogy az interneten Windows-os példányok is terjedtek, de ezek számáról egyelőre nincsenek hivatalos információk. 

A manipulált, fertőzött alkalmazások a kínai oldalon - Forrás: Palo Alto Networks

Hogyan működik?

A WireLurker a működése szempontjából alapvetően két részre bontható. Az egyik összetevője az asztali vagy a hordozható számítógépeken teljesít szolgálatot, míg a másik az iOS kompatibilis készülékeken. A károkozási folyamat azzal veszi kezdetét, hogy a felhasználó egy alkalmazásboltból vagy egy weboldalról letölti a fertőzött Mac-es, illetve Windows-os szoftvert (ez általában egy manipulált játékprogram), amit feltelepít. Ekkor a WireLurker aktivizálódik, és kapcsolódik egy távoli kiszolgálóhoz, amelyről konfigurációs adatokat, illetve egyéb fájlokat szerez be, amik akár tanúsítvánnyal ellátott mobil alkalmazásokhoz is tartozhatnak. Ezt követően a kártékony program a háttérben várakozik, és folyamatosan monitorozza a számítógéphez csatlakoztatott eszközöket. Ha iOS készülék jelenlétét észleli, akkor rögtön megvizsgálja, hogy az adott eszköz jailbreakelt-e vagy sem. Amennyiben nem, akkor feltelepít egy alkalmazást. Ha pedig a jailbreak adott, akkor lement néhány gyakran használt szoftvert, amiknek a fájljait kompromittálja (megfertőzi), majd visszatelepíti a mobilra. Amikor ezzel is elkészül, akkor lekérdezi a készülékben eltárolt telefonkönyvet, kigyűjti a neveket, telefonszámokat, az Apple ID-t, valamint a szöveges üzeneteket. Ezeket az adatokat titkosítottan feltölti a vezérlőszerverére, ezáltal bizalmas információkhoz juttatja a csalókat. Mindez pedig egyben azt is jelenti, hogy a WireLurker célja nem más, mint az adatlopás.

Forrás: Palo Alto Networks

Minden operációs rendszer sebezhető

"Az emberek azt hiszik, hogy egy Mac gépen sokkal kisebb valószínűséggel ütheti fel a fejét kártékony program, mint Windows alatt. Nos ez kétségtelenül így van, de csak azért mert a támadók kevésbé érdeklődnek a Mac-ek iránt. A támadási felület relatív nagysága legalább akkora, mint Windows-on vagy bármely más modern operációs rendszeren. Meglátásom szerint a Mac-es hibákat sokkal inkább kiaknázzák az elkövetők, mint azt sokan gondolják. Azonban a károkozók terjesztése elsősorban nem sérülékenységek révén történik, hanem kalózszoftverek útján. Különösen Kínában, így nem véletlen, hogy ez esetben is Kínából indult a probléma" - nyilatkozta Jared DeMott, a Bromium Labs biztonsági kutatója. 

Greg Martin, a ThreatStream műszaki igazgatója pedig a nem hivatalos alkalmazásboltok által jelentett kockázatokra hívta fel a figyelmet. Ezek a webhelyek ugyanis az esetek túlnyomó többségében nem alkalmaznak semmiféle ellenőrzést az általuk közzétett szoftverek vonatkozásában, amit - ahogy a példa is mutatja - a kiberbűnözők könyörtelenül ki is használnak.

Egy fertőzött alkalmazás - Forrás: Palo Alto Networks

Védekezési lehetőségek

A WireLurker kockázatát csökkenti, hogy az csak kínai alkalmazásboltokban jelent meg. Ugyanakkor a károkozó rávilágított arra, hogy az iPhone és az iPad sem sebezhetetlen, így szükség van óvatosságra. Fontos megjegyezni, hogy azért a WireLurker sem került fel észrevétlenül a mobilokra, ugyanis az iOS figyelmeztetett a telepítésre, illetve új ikonok jelentek meg a készülékeken. Ezért a biztonsági jelzésekre, illetve a szokatlan eseményekre érdemes odafigyelni. Mindig csak megbízható forrásból származó alkalmazásokat célszerű telepíteni.