Tổng quan các thông tin về trojan WireLurker

Gần đây xuất hiện thông tin đáng quan tâm về việc tin tặc lây nhiễm tới iPhone và người dùng Mac OS X bằng một phần mềm độc hại có tên WireLuker. Trước hết, điều quan trọng cần lưu ý rằng tất cả người dùng Kaspersky Lab đều được bảo vệ khỏi mối đe dọa này. Tệp tin độc hại được sử dụng bởi WireLurker được xác định bởi các sản phẩm với tên gọi:

Mac OS X:
 Trojan-Downloader.OSX.WireLurker.a
 Trojan-Downloader.OSX.WireLurker.b
 Trojan.OSX.WireLurker.a
 Apple iOS:
 Trojan-Spy.IphoneOS.WireLurker.a
 Trojan-Spy.IphoneOS.WireLurker.b
 Windows:
 Trojan.Win32.Wirelurker.a

Theo quan sát các kết nối đến máy chủ độc hại C&C đặt tại Hồng Kông vào tháng 7 năm 2014. Việc lây nhiễm vẫn được tiếp tục trong suốt nhiều tháng, mặc dù duy trì ở mức thấp. Điều thú vị là các thảo luận trên diễn đàn trực tuyến về chủ đề này đã xuất hiện từ đầu năm nay, đặc biệt tại Trung Quốc và Hàn Quốc, cũng có trên một vài diễn đàn tiếng Anh.

Vào 14 tháng 7, một người dùng có tên SirBlanton đăng tải thông tin về malware này bằng tiếng Trung Quốc trên BBS:

Dịch : “Khoảng 3 ứng dụng trên iPhone: Alfred 2.3/Pixelmator 3.2/Folx GO+ 3.0 chứa malware/Trojan đòi bạn yêu cầu nhập mật khẩu quản trị viên suốt quá trình cài đặt và sau đó tự động cài đặt kết nối ngầm đến www.comeinbaby.com…”

Bài thảo luận trên được đăng tải trên “bbs.maiyadi.com”, điều đáng chú ý là các tên miền phụ khác trên “maiyadi.com được sử dụng bởi malware như một máy chủ C&C.  Vào 29 tháng 5 cũng có một bài thảo luận trên diễn đàn Hàn Quốc về việc Mac OS X bị lây nhiễm bởi malware này:

Mac OS X và iOS không phải là nền tảng duy nhất để malware lây nhiễm. Jaime Blasco từ Alienvault cũng đã phát hiện một công cụ độc hại Win32 có liên quan.

The WireLurker Windows module

File name: 万能视频播放器 2.21.exe md5: fb4756b924c5943cdb73f5aec0cb7b14

Win32 WireLurker module

Tệp tin này dường như được biên soạn từ tháng 3 năm 2014

Metadata đầy đủ:

 Machine Type                    : Intel 386 or later, and compatibles
 Time Stamp                      : 2014:03:13 03:56:21-04:00
 PE Type                         : PE32
 Linker Version                  : 10.0
 Code Size                       : 721920
 Initialized Data Size           : 1364480
 Uninitialized Data Size         : 0
 Entry Point                     : 0xafb86
 OS Version                      : 5.1
 Image Version                   : 0.0
 Subsystem Version               : 5.1
 Subsystem                       : Windows GUI
 File Version Number             : 1.0.0.1
 Product Version Number          : 1.0.0.1
 File Flags Mask                 : 0x003f
 File Flags                      : (none)
 File OS                         : Windows NT 32-bit
 Object File Type                : Executable application
 File Subtype                    : 0
 Language Code                   : Chinese (Simplified)
 Character Set                   : Unicode
 File Description                : 绿色IPA安装器
 File Version                    : 1.0.0.1
 Internal Name                   : 绿色IPA安装器.exe
 Original Filename               : 绿色IPA安装器.exe
 Product Name                    : 绿色IPA安装器
 Product Version                 : 1.0.0.1

Tệp tin nội bộ có tên “绿色IPA安装器” dịch sang tiếng Anh là Green IPA installer. Nó được coi là một ứng dụng cài đặt tệp tin IPA trên thiết bị iOS. Nó chứa một đường dẫn debug tiết lộ thông tin về build: E:lifeilibimobiledevice-win32-master_lastReleaseappinstaller.pdb

Ứng dụng này chứa hai IPA (Apple application archives – Bộ cài đặt trên các sản phẩm của Apple), một là “AVPlayer” và một là “apps”. AVPlayer.app trông có vẻ là một ứng dụng hợp pháp trên iOS dùng để nhử các nạn nhân. Dưới đây là biểu tượng của ứng dụng:

Nó sử dụng giả mạo tên tác giả là một nhà phát triển nổi tiếng “teiron@25pp.com”.

IPA thứ hai đáng thú vị hơn.

Nó được tạo ra từ tháng 3 năm 204 và “apps” kết nối với “comeinbaby[.]com”:

Phần sfbase.dylib kết nối với một máy chủ C&C khác:

Tóm tắt, ứng dụng Win32 mô tả phía trên cho phép cài đặt ứng dụng iOS tải malware vào iPhone của nạn nhân. Tác giả phát triển nó dường như để đảm bảo rằng người dùng Windows cũng bị lây nhiễm như trên thiết bị iOS.

KSN Detections

Kaspersky Security Network (KSN) là một cơ sở hạ tầng phức tạp dành riêng cho việc xử lí an ninh mạng liên quan đến các luồng dữ liệu từ hàng triệu người tham gia tự nguyên trên toàn thế giới. Cung cấp tin báo bảo mật của Kaspersky Lab đến các đối tác và khách hàng kết nối Internet, đảm bảo thời gian phản ứng nhanh, giảm thiểu tỉ lệ lây nhiễm và duy trì mức bảo vệ cao nhất. Mô tả chi tiết về KSN có thể tìm thấy tại đây. Biểu đồ dưới đây mô tả số lượng phát hiện WireLurker trên OS X:

Hơn 60% phát hiện đến từ Trung Quốc.

Kết luận

Sự cố này như một lời nhắc nhở về lí do tại sao sử dụng phần mềm lậu lại nguy hiểm như vậy, dù bạn đang dùng nền tảng nào đi chăng nữa. Tải ứng dụng từ các nguồn không chính thức như chợ trực tuyến, trang web chia sẻ  hay torrent và mạng chia sẻ P2P khác gia tăng khả năng lây nhiễm mã độc. Cho thấy sự cần thiết của phần mềm anti-malware trên Mac OS X. Không chỉ Mac OS X bị lây nhiễm, WireLurker còn cho chúng ta thấy nó có thể lây từ Mac sang iPhone. Thông tin tốt là chúng ta có rất nhiều lựa chọn bao gồm Kaspersky Internet Security trên Mac.

Bước đầu tiên để bảo vệ, người dùng Mac OS X nên kiểm tra cài đặt Security & Privacy đảm bảo rằng thiết đặt của họ là tối ưu. Khuyến cáo cài đặt Gatekeeper để các ứng dụng chỉ có thể tải từ Mac App Store và nhà phát triển được xác định cho phép cài đặt. Thông tin về Gatekeeper có thể tìm thấy tại đây. Đây cũng là hồi chuông cảnh báo cho người dùng Apple luôn nghĩ về bảo mật. iOS và Mac OS đang bị tấn công thường xuyên hơn. Các nhà cung cấp phần mềm Anti-malware vẫn chưa được phép phát triển trên iPhone.

Kaspersky Blog