Bezpečnostní firma Palo Alto Networks (PAN) odhalila sofistikovaný malware, který se šíří z čínského internetového obchodu s aplikacemi Maiyadi. Napadá zařízení upravená pro instalaci aplikací třetích stran (jailbreak), ale i neupravené s oficiálním softwarem. Malware WireLurker poté ze zařízení získává veškeré logy, kontakty a další citlivé informace.
Převážně čínské internetové obchody jako Maiyadi jsou oblíbené mezi uživateli iOS zařízení, upravených pro instalaci z jiného, než firemního AppStoru, protože na nich lze zdarma stahovat aplikace, které jsou jinak zpoplatněny.
Palo Alto Networks uvádí, že 467 aplikací z uvedeného obchodu v sobě obsahuje malware WireLurker. Jsou to například The Sims 3, International Snooker 2012 nebo Pro Evolution Soccer 2014. Za posledních šest měsíců byla podle PAN z tohoto obchodu stažena nakažená aplikace více než 350 000×.
Zdá se, že jsme odhalili někoho, kdo se snaží připravit větší útok, ale nedospěl zatím do fáze plného odstartování,
uvedl pro server PC World Ryan Olson, ředitel oddělení hrozeb z Palo Alto Networks.
Vývojářský certifikát
Pokud se WireLurker dostane do počítače, čeká na připojení mobilního zařízení pomocí USB kabelu. Pak zjistí, jestli je zařízení upraveno jailbreakem, a pokud ano, instaluje se do mobilního zařízení.
Pokud malware detekuje neupravené mobilní zařízení, do kterého nelze instalovat aplikace třetích stran, snaží se v zařízení najít aplikaci Taobao, Alipay nebo Meitu. Když je najde, překopíruje je do počítače, kde je infikuje WireLurkerem a nahraje zpět do mobilního zařízení pomocí vývojářského certifikátu. Ten umožňuje vývojářům instalovat do zařízení jejich aplikace ve vývoji, které zatím nejsou k dispozici v AppStoru. Uživatel pak musí instalaci potvrdit.
Již citovaný Olson uvedl, že Apple o hrozbě ví, ale nejedná se o chybu, kterou by firma mohla jakkoli opravit. Dá se ale předpokládat, že Apple zruší platnost zneužitého vývojářského certifikátu.