Niemand heeft een ooglid als er malware in de Windows-wereld verschijnt, maar als het zichzelf Mission Impossible-stijl in Apple's traditioneel gesloten ecosysteem manoeuvreert, neigt alles naar een waanzin.

Het is dan ook logisch dat WireLurker, een soort malware die wordt overgebracht van geïnfecteerde Macs naar USB-verbonden iOS-apparaten, in de afgelopen 24 uur behoorlijk wat opschudding heeft veroorzaakt.

Volgens Unit 42 - het team voor bedreigingsinformatie bij Palo Alto Networks dat de kwetsbaarheid heeft ontdekt - heeft WireLurker zijn weg gevonden naar mogelijk honderdduizenden in China gevestigde Apple-apparaten. Bovendien denkt het bedrijf dat het zijn potentieel heeft om zijn tentakels veel verder uit te breiden.

We willen je niet laten hangen, dus hier is een overzicht van de essentiële informatie die je moet weten over wat "een nieuw soort bedreiging voor alle iOS-apparaten" wordt genoemd. Het is verstrekt door Ryan Olson, hoofd van de inlichtingendienst van eenheid 42.

Wat is WireLurker?

WireLurker is een stam van malware die is ontdekt in Maiyadi, een Chinese Chinese OS X-app store. Volgens Unit 42 markeert het een "nieuw tijdperk in malware op de desktop- en mobiele platforms van Apple" en vormt het een bedreiging voor bedrijven, overheden en Apple-apparaatklanten wereldwijd.

Hoe werkt het?

In plaats van OS X en iOS afzonderlijk aan te vallen, richt WireLurker beide platforms tegelijkertijd. Dit gebeurt door elk iOS-apparaat te controleren dat via USB is verbonden met een geïnfecteerde OS X-computer en gedownloade applicaties van derden of automatisch gegenereerde kwaadaardige applicaties op het apparaat te installeren, afhankelijk van of het al dan niet gejailbreakt is (vandaar de naam "wire lurker"). Onderzoekers hebben al eerder soortgelijke methodes toegepast om niet-gejailbreakte apparaten aan te vallen, maar WireLurker is geavanceerd genoeg om verschillende technieken te combineren om het nog gevaarlijker te maken dan eerder.

Waarom is het een probleem??

WireLurker kan bogen op een aantal primeurs - en dat maakt het een bijzonder akelig stuk werk. Het is de eerste bekende vorm van malware die geïnstalleerde iOS-apps kan infecteren op dezelfde manier als een traditioneel virus op een desktopcomputer.

Het is ook de eerste-in-de-wild-malwarefamilie die apps van derden op iOS-apparaten kan installeren die niet zijn gejailbreakt met behulp van enterprise provisioning (een manier waarop bedrijven hun eigen apps installeren zonder het app-goedkeuringsproces van Apple te doorlopen).

Bovendien, tot WireLurker langskwam, stond er maar één andere malwarefamilie bekend die via USB iOS-apparaten via OS X had aangevallen.

Waar kwam het vandaan?

WireLurker wordt verondersteld te zijn gebouwd door cybercriminelen in China, die 467 OS X-applicaties hebben gehumaniseerd (geïnfecteerd) in Maiyadi. Maiyadi is ook een website die Apple-gerelateerd nieuws en bronnen biedt, terwijl de app-winkel met dezelfde naam een ​​subsite is waarvan bekend is dat deze illegale premium Mac-, iPad- en iPhone-apps host.

Denk na voordat je verbinding maakt

Wat voor slechte dingen zal het doen?

Sommige criminelen handelen eerst en denken later, wat lijkt te zijn wat de daders van WireLurker aan het doen zijn. Unit 42 denkt dat ze hun motieven nog steeds overdenken bij het ontwikkelen van aanvalsplannen en het verfijnen van de malware om meer sluipenderwijs en moeilijker te verwijderen.

WireLurker is in staat om gegevens te stelen - van adresboekcontacten tot Apple-apparaatinformatie en iMessage contactgegevens - en zou veel meer kunnen doen vanwege de mogelijkheid om te communiceren met een "command control server" voor updates. Met andere woorden, het wordt constant krachtiger en geavanceerder.

Hoeveel mensen zijn getroffen?

Meer dan je zou denken. Er wordt gedacht dat 467 geïnfecteerde applicaties zijn gedownload over 356.104 keer, voornamelijk door Mac- en iOS-gebruikers in China.

Hoe kan ik veilig blijven?

Omdat WireLurker alleen wordt gevonden in Mac-apps van derden, kunt u veilig blijven voor kwaad door alleen apps te downloaden uit de eigen Apple App-winkel. Met andere woorden: blijf uit de buurt van app-winkels van derden die niet alleen besmet zijn met malware, maar ook van dubieuze legaliteit vanwege redenen die verband houden met copyright en IP.

Hoe zag Unit 42 het?

De beveiligingskwetsbaarheid werd ontdekt door Claud Xiao van Unit 42 nadat hij een Chinees forum tegenkwam dat zeer verdachte bestanden en processen op Macs en iPhones documenteerde.

Xiao ontdekte dat alle door TrojanLan trojanized apps een installatie-interface bevatten met een "Pirates of the Caribbean" thema-achtergrond. De geïnfecteerde apps gebruiken ook een QQ (een IM-softwareservice) -accountnummer dat overeenkomt met de eigenaar van de Maiyadi-website. De pakketten bevatten ook een applicatie genaamd "User Manual", die in het Chinees werd weergegeven.

Dus Apple is in de zaak, juist?

Laten we duidelijk zijn: hoewel WireLurker invloed heeft op Apple-apparaten, is het geen kwetsbaarheid van Apple. Dat komt omdat de technieken die het gebruikt, worden geïmplementeerd met legitieme API's, ofwel van Apple on in Cydia (een app-store van derden op iOS), die wordt gebruikt door apparaten die zijn gefraudeerd.

In een verklaring bevestigde Apple TechRadar echter dat het geïnfecteerde apps heeft geblokkeerd die het heeft geïdentificeerd om te voorkomen dat ze worden gestart.