بدافزار WireLurker توسط محققان Palo Alto Networks شناسایی شد، و قادر بود علاوه بر آلوده کردن سامانه عامل OS X، از طریق کابل USB به دستگاه های iOS نیز سرایت کند و به سرقت اطلاعات از این دستگاه ها بپردازد. پس از انتشار گزارش های کشف این بدافزار، محققان تایید کرده اند که روز گذشته کارگزار های فرمان دهی و کنترل این بدافزار خاموش شده اند و شرکت اپل گواهی نامه ی دیجیتالی که این بدافزار برای آلودگی دستگاه های iOS غیرجیل برک استفاده می کرده را باطل کرده است.
به گزارش پايگاه اخبار امنيتي فن آوري اطلاعات و ارتباطات، به گفته ی Ryan Olson، مدیر اطلاعاتی شرکت Palo Alto Networks این بدافزار اگرچه به سرعت پس از شناسایی غیرفعال شده است اما محققان توانسته اند با بررسی این بدافزار تکنیک های جدیدی که ممکن است برای حمله به محصولات اپل مورد استفاده قرار بگیرد را فراگرفته اند. هدف اصلی بدافزار WireLurker که منحصراً در چین قربانی گرفته است، هنوز مشخص نشده است، اما این بدافزار قادر به سرقت اطلاعات محرمانه و داده های ذخیره شده در دستگاه های آلوده می باشد.
این بدافزار از طریق سامانه های آلوده ی OS X و از طریق کابل های USB به دستگاه های iOS منتقل می شد، درواقع این بدافزار سعی در نصب برنامه هایی در دستگاه قربانی می کرد، این اولین بار است که یک بدافزار می تواند در دستگاه های غیرجیل برک نیز نرم افزار های غیرمجاز نصب کند.
در گزارش شرکت Palo Alto Networks از این بدافزار به عنوان یکی از گسترده ترین بدافزار های OS X نیز نام برده شده است، در واقع این شرکت موفق به کشف نسخه ی سوم این بدافزار شده است و این بدین معنی است که مدت زیادی از فعالیت آن می گذشته است و هم چنین از آن جایی که WireLurker قادر به آلوده کردن نرم افزار های نصب شده در دستگاه های iOS از طریق روش های سنتی ویروسی بوده است، می توان تصور کرد که در صورت ادامه ی فعالیت خود ممکن بود کاربران بسیار زیادی را با درد سر مواجه کند.
اگرچه کارگزار فرمان دهی و کنترل این بدافزار خاموش شده است، اما میلیون ها دستگاه به صورت بالقوه آلوده به این بدافزار هستند و مهاجم می تواند با راه اندازی یک کارگزار دیگر، در زمانی دیگر و درست هنگامی که اخبار امنیت توجه کم تری به این بدافزار دارند، خسارت سنگینی به کاربران دستگاه های iOS و OS X وارد کند.
مهاجمان برای آلوده کردن دستگاه های iOS ابتدا دستگاه های OS X را آلوده کرده اند، برای این کار نیز برخی نرم افزار های ویژه ی سامانه عامل OS X که از طریق یک فروشگاه شخص ثالث در چین به نام Maiyadi انتخاب کرده اند. در واقع ۴۶۷ نرم افزار آلوده از تاریخ ۳۰ آوریل تا ۱۱ ژوئن در این فروشگاه بارگذاری شده است. از محبوب ترین نرم افزار های آلوده ای که هر یک بیش از ۲۰ هزار بار توسط کاربران بارگیری شده اند می توان به نرم افزار های The Sims 3 و International Snooker 2012 که نرم افزار های تفریحی می باشند اشاره کرد.
البته مهاجم این نرم افزار ها را در کارگزار Maiyadi میزبانی نمی کرده است و نرم افزار های آلوده به صورت ابری در سرویس های ابری Huawei و Baidu میزبانی می شده اند.
این بدافزار پس از آلوده کردن سامانه های مک اتصال های USB این دستگاه را نظارت و در صورت تشخیص یک دستگاه iOS مراحل آلودگی این دستگاه را نیز طی می کند. در واقع بدافزار پس از شناسایی یک دستگاه iOS ابتدا سعی می کند به آن دست رسی با مجوز root داشته باشد و در صورت موفقیت تشخیص می دهد این دستگاه جیل برک شده است که یک نرم افزار جدید بدون درد سر در آن نصب می شود. در صورتی که دستگاه جیل برک نشده باشد، یک نرم افزار از نرم افزار های نصب شده به بدافزار آلوده می شوند و سپس با یک گواهی نامه ی دیجیتال معتبر (که اپل روز گذشته آن را لغو کرده است) امضا و در دستگاه نصب می شوند.
همیشه دو فرآیند در دستگاه های آلوده اجرا می شود، یکی از این فرآیند ها در انتظار دریافت به روز رسانی از کارگزار فرمان دهی و کنترل است و دیگری در انتظار فرمان برای بارگیری و نصب نرم افزار های آلوده ی دیگر است.
Olson می گوید: «این بدافزار توسط تعدادی توسعه دهنده ی iOS و OS X ایجاد شده است، البته این توسعه دهندگان روش های فرار از شناسایی در بدافزار ها را به خوبی اعمال نکرده اند، اما قدرت بدافزار آن ها به دلیل تسلط به تکنیک هایی است که توسط اپل استفاده می شود، لازم به ذکر است که نسخه ای از این بدافزار نیز کشف شده است که برای ویندوز توسعه پیدا کرده است، اما به دلیل برخی خطاها قادر به فعالیت نبوده است، به همین دلیل بدافزاری با چنین قدرتی ممکن است در آینده و توسط سایر نفوذگران تکمیل شود و خساراتی را به بار آورد.»
به هر حال و با وجود خاموشی کارگزار های فرمان دهی و کنترل این بدافزار به کاربران توصیه می شود در دستگاه های iOS یا OS X خود به هیچ عنوان نرم افزار های غیرمعتبر نصب نکنند و در صورت مشاهده ی این نرم افزار ها آن ها را پاک کرده و دستگاه خود را با یک ضدبدافزار معتبر بررسی نمایند. هم چنین دستگاه iOS خود را از طریق کابل به رایانه هایی که از سلامت آن ها مطمئن نیستید متصل نکنید.