Masque: уязвимость в iOS, которую использовал WireLurker

Исследователи рассказали о критической уязвимости в iOS, используемой вирусом WireLurker

Masque Attack: new iOS vulnerability behind WireLurker

Исследователи обнаружили и предупредили компанию Apple об уязвимости, используемой вирусом WireLurker. Напомним, этот троянец заражал айфоны и айпады, подключенные по USB к зараженным ПК, работающим под управлением OS X и Windows.

Уязвимость получила имя Masque, она присутствует в iOS версий 7.1.1, 7.1.2, 8.0, 8.1 и 8.1.1 beta. Согласно первоначальным отчетам, вирус поражал только iOS-устройства, подключенные через USB. Однако 10 ноября 2014 года исследователи из FireEye сообщили, что мобильные устройства Apple также можно заразить с помощью SMS или e-mail. Правда, для этого жертва должна перейти по ссылке, ведущей на зловредное приложение.

Уязвимость Masque позволяет злоумышленникам заменять подлинные приложения для iOS на вредоносные без предупреждения пользователя. Проблема в том, что в iOS не предусмотрена двойная проверка сертификата разработчика — он продолжает действовать для подмененного приложения, даже несмотря на то что разработчик не загружал новую версию программы в App Store.

Вот почему iOS не блокировала сертификаты WireLurker, поскольку вирус напрямую загрузил приложения на телефон пользователя, с зараженного ПК или ноутбука. Именно поэтому, в отличие от предыдущих поколений вирусов для iOS, WireLurker имел возможность заражать даже те устройства, на которых не проводили джейлбрейк.

Нельзя недооценивать важность антивирусной защиты для Apple OS X

Специалисты FireEye утверждают, что пока WireLurker — единственный существующий на данный момент зловред, который эксплуатирует уязвимость Masque. Однако также эксперты отмечают, что данная уязвимость может быть использована и другими преступниками, — ошибку в iOS все еще не исправили. Впрочем, следует отдать Apple должное: она быстро аннулировала сертификаты, используемые вредоносным ПО.

Вскоре после того, как на прошлой неделе компания Palo Alto Networks опубликовала отчет о вирусе WireLurker, группа злоумышленников свернула свою деятельность. До того же преступники инфицировали устройства с установленными Windows и Mac. После чего вирус затаивался и ожидал, пока пользователь подключит к компьютеру свой iPhone или iPad.

После этого троянец активизировался и сканировал подключенное iOS-устройство на наличие популярных приложений. Обнаружив таковые, WireLurker деинсталлировал их и заменял на поддельные копии. Пока неясно, какие данные в первую очередь искал вирус.

К настоящему времени WireLurker мог повлиять только на пользователей, загружавших программы из китайского магазина Maiyadi. По данным Palo Alto, на Maiyadi было найдено 467 инфицированных приложений для OS X. До 16 октября 2014 года более чем 100 тыс. пользователей загрузили такие приложения свыше 350 тыс. раз.

«Нельзя недооценивать важность антивирусной защиты для Mac OS X, — комментируют аналитики «Касперского» в отчете, опубликованном на Securelist.com. — И дело не только в том, что могут быть инфицированы сами компьютеры, работающие под управлением OS X. WireLurker наглядно продемонстрировал, как вирус может переходить с Mac на iPhone. Но есть и хорошие новости: защитить ваше устройство можно множеством способов, в том числе и с помощью Kaspersky Internet Security».

Советы