Onderzoekers hebben een nieuwe malware-familie ontdekt die in staat is om zowel Mac-computers als iOS-apparaten te besmetten. WireLurker (PDF), zoals de malware door beveiligingsbedrijf Palo Alto Networks wordt genoemd, gebruikt geïnfecteerde applicaties op een onofficiële app-store in China.

In totaal zou het om 467 getrojaniseerde applicaties in de Maiyadi App Store gaan, zoals The Sims, Pro Evolution Soccer, Bejeweled, Angry Birds en Battlefield: Bad Company, die in totaal 356.000 keer zijn gedownload. Eenmaal actief op een besmette Mac-computer monitort WireLurker iOS-apparaten die via USB worden aangesloten. Zodra het toestel is aangesloten wordt eerst gekeken of het apparaat gejailbreakt is.

Is de iPhone of iPad niet gejailbreakt, dan installeert WireLurker iOS-applicaties die het via verschillende iTunes-protocollen downloadt. Op een gejailbreakt toestel maakt de malware back-ups van specifieke applicaties op het toestel en voorziet zowel deze applicaties als de applicaties die het downloadt van malware. Deze aangepaste iOS-applicaties worden ook via de iTunes-protocollen geïnstalleerd, net zoals bij de niet-gejailbreakte toestellen.

Het gebruik van de USB-verbinding om computers op deze manier aan te vallen is niet nieuw. In juni van dit jaar ontdekte Kaspersky Lab malware die een soortgelijke werkwijze hanteerde. In dit geval ging het om malware voor zowel Windows als Mac OS X die wachtte tot gejailbreakte iOS-toestellen werden aangesloten.

Doel van de malware

WireLurker is in staat om allerlei informatie van besmette mobiele apparaten te stelen, zoals iMessage-berichten en het adresboek, en maakt regelmatig contact met de servers van de malwareschrijvers. Volgens Palo Alto Networks is de malware nog in ontwikkeling en is het uiteindelijke doel onbekend. Dat geldt ook voor het aantal slachtoffers. Harde cijfers ontbreken en het beveiligingsbedrijf denkt dat het mogelijk om honderdduizenden besmette apparaten gaat.

De grootste bevestigde uitbraak op Mac-computers tot nu toe is die van Flashback. Deze malware wist 700.000 Macs te infecteren. Daarnaast maakte Flashback gebruik van een zero day-lek in Java waardoor het zich via drive-by downloads kon verspreiden. Het bezoeken van een gehackte of kwaadaardige website met een Mac was voldoende om besmet te raken. Hoewel eerdere varianten van Flashback social engineering gebruikten om zich te verspreiden, zorgde de verspreiding via het Java-lek ervoor dat er in korte tijd honderdduizenden Macs besmet raakten.

Beschermingsmaatregelen

Om zich tegen WireLurker en soortgelijke aanvallen te beschermen krijgen gebruikers het advies om geen apps van onofficiele App Stores, downloadsites of andere onbetrouwbare bronnen te downloaden, een virusscanner te installeren en alleen de installatie van apps uit de Mac App Store toe te staan. Daarnaast moeten Apple-gebruikers ook hun iOS-toestellen up-to-date te houden en niet op onbetrouwbare of onbekende computers aansluiten. In het geval van een infectie kunnen Mac-gebruikers de betreffende bestanden en applicaties verwijderen.