Компания Palo Alto Networks была первой, кто сообщил о данной вредоносной программе и механизмах ее распространение. Основным вектором заражения iDevice являются скомпрометированные компьютеры под управлением OS X. В свою очередь компрометация OS X осуществляется через вредоносные приложения, которые были размещены в стороннем магазине приложений OS X под названием «Maiyadi App Store». Эти компоненты вредоносной программы для OS X обнаруживаются нами как OSX/WireLurker.A.
Заражение iOS происходит при подключении устройства через USB-интерфейс к скомпрометированному компьютеру под управлением OS X. Для этого вредоносная программа использует специальную библиотеку libimobiledevice, которая предоставляет возможность удаленной работы с iOS через USB. Нужно отметить, что для запуска модуля вредоносной программы, который установит в систему сервис libimobiledevice, он должен получить максимальные права root, что исключено в случае использования пользователем стандартной системы безопасности OS X. Ни OSX/WireLurker.A ни iOS/WireLurker.A не используют какие-либо эксплойты для получения прав root в iOS и OS X.
Ключевой возможностью OSX/WireLurker.A является способность заражать iOS без jailbreak. Используя вышеупомянутую библиотеку и механизм известный как «enterprise provisioning», он осуществляет установку в систему приложений в формате IPA. В таком формате для iOS поставляются приложения, которые можно установить в систему в обход App Store. Но для этого оно должно быть подписано цифровым сертификатом, выданным Apple, что и было сделано злоумышленниками (но даже при таком сценарии развития событий, пользователь должен подтвердить установку программы в iOS). На данный момент сертификат уже был отозван компанией.
В случае присутствия в системе jailbreak, OSX/WireLurker.A производит установку в файловую систему iOS вредоносной библиотеки sfbase.dylib (iOS/WireLurker.A). Доступ к файловой системе iOS при этом осуществляется с использованием сервиса AFC2, который функционирует на устройстве с jailbreak и имеет права root в системе, что позволяет получить ему прямой доступ к файловой системе.
Мы рекомендуем не использовать сторонние магазины приложений для OS X, в которых отсутствует проверка безопасности размещаемых приложений, а также не использовать jailbreak в iOS, так как он дискредитирует систему безопасности всего устройства и открывает полный доступ к файловой системе в обход механизмов безопасности iOS.
https://clck.ru/9MJfi
Специалисты компании «Доктор Веб» обнаружили нового трояна, встроенного непосредственно в образ операционной системы целого ряда мобильных устройств под управлением Android. Вредоносное приложение, получившее имя Android.Becu.1.origin, способно загружать, устанавливать и удалять программы без ведома пользователей, а также может блокировать поступающие с определенных номеров SMS-сообщения, сообщили CNews в «Доктор Веб».
По словам экспертов «Доктор Веб», данная вредоносная программа представляет собой комплексную угрозу, состоящую из нескольких тесно взаимодействующих друг с другом модулей. Основным компонентом Android.Becu.1.origin является apk-файл с именем Cube_CJIA01.apk, который располагается непосредственно в системном каталоге и имеет цифровую подпись самой операционной системы, что дает ему неограниченные полномочия и позволяет выполнять все действия без вмешательства пользователя. Кроме того, расположение этого приложения непосредственно в прошивке мобильного устройства значительно затрудняет его удаление стандартными методами.
Троян начинает свою вредоносную деятельность при каждом включении зараженного устройства, а также при получении его владельцем новых SMS-сообщений. Как только наступает одно из этих событий, Android.Becu.1.origin в соответствии со своим конфигурационным файлом загружает с удаленного сервера блок зашифрованных данных, который после расшифровки сохраняется под именем uac.apk в рабочем каталоге трояна и запускается в оперативной памяти при помощи класса DexClassLoader. Вслед за этим троян запускает свой второй компонент uac.dex, хранящийся в том же рабочем каталоге. Оба этих модуля отвечают за основной вредоносный функционал данной Android-угрозы, а именно — возможность скрытно загружать, устанавливать и удалять те или иные приложения по команде управляющего сервера, указали в компании.
После успешной активации данных компонентов вредоносная программа проверяет наличие в системе своего третьего модуля, находящегося в пакете com.zgs.ga.pack, который в случае отсутствия загружается и устанавливается на устройство. Данный модуль регистрирует зараженный смартфон или планшет на сервере злоумышленников, предоставляя им информацию об активных копиях Android.Becu.1.origin. Если один или несколько модулей трояна будут удалены пользователем, основной файл вредоносного приложения восстановит их, повторив процесс инсталляции.
Помимо выполнения своего основного предназначения — незаметной работы с приложениями, троян также может блокировать все поступающие с определенных номеров SMS-сообщения.
На данный момент специалистам «Доктор Веб» известно о присутствии данной угрозы на целом ряде моделей популярных Android-устройств бюджетного ценового сегмента. Среди них — UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000, ALPS H9500 и многие другие. Наиболее вероятным вектором заражения этих устройств трояном Android.Becu.1.origin является распространение в интернете модифицированных злоумышленниками файлов-прошивок, которые загружают сами пользователи, а также установка таких образов операционной системы недобросовестными поставщиками смартфонов и планшетов, участвующими в преступной схеме.
Поскольку Android.Becu.1.origin расположен непосредственно внутри самой операционной системы, его полное удаление стандартными методами весьма проблематично, поэтому наиболее простым и безопасным способом борьбы с трояном является его «заморозка» в меню управления приложениями. Для этого необходимо найти основной файл трояна в списке установленных программ (пакет com.cube.activity) и нажать на кнопку «Отключить». В результате вредоносное приложение станет неактивным и не сможет продолжить свою работу. После этого потребуется выполнить удаление вспомогательных компонентов трояна (пакеты com.system.outapi и com.zgs.ga.pack), которые могли быть установлены им ранее.
Более радикальными способами противодействия Android.Becu.1.origin являются ручное удаление его основного компонента при наличии root-доступа, а также установка заведомо «чистого» образа операционной системы, которая повлечет за собой потерю всей сохраненной информации. Обе эти процедуры сопряжены с определенной опасностью повреждения работоспособности устройства, поэтому должны выполняться только опытными пользователями на свой страх и риск и сопровождаться созданием резервной копии важных данных, подчеркнули в «Доктор Веб».
https://clck.ru/9MJfa