Mã độc WireLurker nhắm mục tiêu đến thiết bị Apple tại Trung Quốc

Các nhà nghiên cứu tại Palo Alto Networks thông báo rằng họ vừa phát hiện ra một loại mã độc tấn công các thiết bị Apple, hiện tại nó mới xuất hiện trên một vài người dùng tại Trung Quốc sử dụng ứng dụng trên Store. Mã độc này liên quan đến chiến dịch “WireLurker” lây nhiễm trên các ứng dụng Mac OS X nhằm thu thập lịch sử cuộc gọi, danh bạ và thông tin nhạy cảm khác.

Một vài  ứng dụng Mac OS X trong một Store của bên thứ ba của Trung Quốc có tên Maiyadi đã được phát hiện có WireLurker bao gồm “The Sims 3” “International Snooker 2012” và “Pro Evolution Soccer 2014“. Suốt 6 tháng qua, những ứng dụng này đã được tải về 356,104 lượt và có thể đã lây lan hàng trăm ngàn thiết bị. Apple đã khuyến cáo người dùng tải ứng dụng từ Apple Store và tránh xa những ứng dụng bên thứ ba vì lí do bảo mật. Một bộ phận người dùng chuyển qua Maiyadi Store bởi nó chứa ứng dụng miễn phí.

Palo Alto phân tích ba phiên bản của WireLurker và chúng đều được cải tiến so với phiên bản trước đó. Khi tải về ứng dụng chứa mã độc, nó sẽ chờ thiết bị iOS khác kết nối thông qua dây USB rồi lây nhiễm. Phiên bản hai của WireLurker sẽ kiểm tra xem thiết bị đã bị “jailbroken” chưa. Sau đó nó sẽ kiểm tra xem các ứng dụng như Taobao, Alipay hay Meitu đã được cài đặt hay chưa. Nếu có nó sẽ sao chép ứng dụng vào máy tính Mac rồi lây nhiễm. Phiên bản ba của WireLuker nhắm đến các thiết bị chưa bị “jailbroken”. WireLurker sẽ sử dụng một chứng chỉ số mà Apple triển khai cho các doanh nghiệp phát triển phần mềm để họ có thể chạy ứng dụng của mình nội bộ mà không xuất hiện trên App Store. Sử dụng chứng chỉ này đồng nghĩa với việc iSOS cho phép ứng dụng bên thư ba được cài đặt, mặc dù sẽ có cảnh báo đến người dùng. Nếu người dùng chấp thuận việc cài đặt, WireLurker sẽ được cài đặt cùng những ứng dụng đó.

Olson nói rằng Palo Alto Networks đã liên hệ với Apple. Apple có thể thu hồi chứng chỉ số mà WireLurker sử dụng và cập nhật XProtect để có thể phát hiện ra WireLurker.

Computerworld