Apple neutraliseert WireLurker, Windows-versie duikt op
Apple zegt dat het de Trojan WireLurker, die recent in China ontdekt werd en z’n pijlen richtte op iOS-toestellen, meteen de kop heeft ingedrukt.
Ondertussen blijkt echter dat de dreiging breder gaat dan eerst gedacht: researchers ontdekten een variant voor Windows, die op dezelfde manier Apple-toestellen aanviel.
[related_article id=”158256″]
Apple zei gisteren in een interview met Business Insider: “We hebben weet van malware die afkomstig is van een downloadsite voor onze Chinese gebruikers, en we hebben de kwaadwillige apps geïdentificeerd en geblokkeerd zodat ze niet langer kunnen openen. Zoals altijd raden we onze gebruikers aan om hun software en apps uit vertrouwde bronnen te installeren.”
In feite heeft Apple de aanval geblokkeerd door de toelating van een cryptografisch certificaat terug te trekken, dat het bedrijf eerder had uitgekeerd aan een ontwikkelaar.
Onderzoekers van beveiligingsfirma Palo Alto brachten eerder deze week de WireLurker-malware aan het licht: die was opmerkelijk omdat hij iOS-toestellen kon infecteren via de usb-verbinding met een Mac, en daardoor applicaties kon besmetten op toestellen die niet jailbroken waren.
Volgens Jaime Blasco van AlienVault Labs is er echter ook een Windows-versie van WireLurker, die al circuleerde voor de Mac-variant ontdekt werd. Die Windows-versie werd gehost op de publieke cloud van Baidu, het Chinese antwoord op Googles zoekmachine door een gebruiker genaamd “ekangwen206”, bevestigen nu ook Claud Xiao en Royce Lu van Palo Alto. Die gebruiker had 180 Windows-execs en 67 Mac OS X-applicaties geüpload, die allemaal het WireLurker-virus bevatten.
De malware vindt zijn weg ook naar Chinese Windows-computers via gebruikers die illegale software downloaden; daarbij werd WireLurker gecamoufleerd als installers voor pirated iOS-apps zoals Facebook, Flappy Bird, Bible, GarageBand, de iOS-rekenmachine, Keynote, iPhone, Find My iPhone, iMovie en iBooks.
De Windows-versie die via Baidu werd verspreid lijkt we minder afgewerkt te zijn, want die kreeg enkel voet aan de grond bij jailbroken iOS-toestellen. Het lijkt er wel op dat beide versies van dezelfde maker komen, en het blijft de eerste iOS-malware die deARM64-architectuur in het vizier neemt.
Forensisch expert Jonathan Zdziarski waarschuwt wel dat Apple door het certificaat terug te roepen maar een deel van het probleem oplost: ook zonder dat certificaat kan WireLurker immers nog steeds informatie lezen van het toestel waar het zich in nestelt. Voor jailbroken iPhones die het extreem onveilige afc2 draaien helpt deze oplossing helemaal niet, want daar heeft de malware meteen toegang tot de root van het systeem.
Zdziarski voege er nog aan toe dat de bouwer van WireLurker het teruggeroepen certificaat ook nog kan vervangen door aanvullende certificaten, waardoor het virus nieuw leven in geblazen wordt.