Недавно наши аналитики обнаружили новую вредоносную программу для iOS, которая маскируется под приложение Skype и использовалась в серии направленных атак под названием Inception. Она предназначена для устройств с jailbreak и позволяет злоумышленнику выполнять большое количество функций, включая установку новых вредоносных программ на устройство, а также извлечение из него различной конфиденциальной информации.
Мы добавили первую модификацию этого вредоносного ПО в базу как iOS/Cloudatlas.A. Она распространялась через сторонний магазин приложений и могла быть установлена в систему с помощью известного ПО Cydia. Вышеприведенный значок Skype используется для обмана пользователя и находится в контейнере приложения. Файл iOS/Cloudatlas.A попал к нам в виде контейнера (дистрибутива) формата Debian. С помощью таких пакетных .deb файлов приложения распространяются через Cydia.
Рис. Значок SkypeUp на скомпрометированном устройстве принадлежит iOS/Cloudatlas.A.
Приложение устанавливается в системную директорию Applications с названием SkypeUp.app. Сам Mach-O исполняемый файл копируется в расположение /usr/bin/ и содержит большое количество различной отладочной информации, которая сохраняется в отдельный log-файл и отправляется по ftp на удаленный сервер злоумышленников. Полная строка пути к проекту внутри файла выглядит следующим образом.
Также указаны различные файлы проекта, которые участвовали в его создании.
iOS/Cloudatlas.A специализируется на идентификации модели устройства и детальной информации о нем.
Рис. Часть собираемой информации.
Кроме этого, вредоносная программа может получать команды на удаленную загрузку других нежелательных или вредоносных программ и затем устанавливать их в системе. При анализе видно, что iOS/Cloudatlas.A предполагает, что у пользователя установлено ПО Cydia, которое мы упоминали в начале. Получаемые удаленно нежелательные программы устанавливаются в систему именно с помощью Cydia. Cloudatlas использует возможность директории /var/root/Media/Cydia/AutoInstall для автоматической установки скачиваемых Debian packages (deb-файлов). Эта директория задокументирована в справочной информации к Cydia и используется для ручной установки программ в iOS с jailbreak. Также он использует возможности команды Cydia «dpkg -i» для установки в систему deb-дистрибутива.
Ранее, в этом году, мы уже несколько раз писали (здесь и здесь) о появляющихся вредоносных программах для iOS. Фактически все они затрагивают только устройства с jailbreak, поскольку получают полный доступ к системе в обход ограничений накладываемых iOS. Мы категорически не рекомендуем пользователям осуществлять такую операцию с устройством и подвергать его неоправданному риску.
Проанализированный образец имеет следующий SHA-256: 0a9474c994adba4da87fe3e2d2e687e7b61ff0d6aa8b01f2542d5362be1478af.
Мы добавили первую модификацию этого вредоносного ПО в базу как iOS/Cloudatlas.A. Она распространялась через сторонний магазин приложений и могла быть установлена в систему с помощью известного ПО Cydia. Вышеприведенный значок Skype используется для обмана пользователя и находится в контейнере приложения. Файл iOS/Cloudatlas.A попал к нам в виде контейнера (дистрибутива) формата Debian. С помощью таких пакетных .deb файлов приложения распространяются через Cydia.
Рис. Значок SkypeUp на скомпрометированном устройстве принадлежит iOS/Cloudatlas.A.
Приложение устанавливается в системную директорию Applications с названием SkypeUp.app. Сам Mach-O исполняемый файл копируется в расположение /usr/bin/ и содержит большое количество различной отладочной информации, которая сохраняется в отдельный log-файл и отправляется по ftp на удаленный сервер злоумышленников. Полная строка пути к проекту внутри файла выглядит следующим образом.
/Volumes/Developer/iOS/JohnClerk/Apps/SkypeUpdate/WhatsAppUpdate
Также указаны различные файлы проекта, которые участвовали в его создании.
/Volumes/Developer/iOS/JohnClerk/Apps/SkypeUpdate/WhatsAppUpdate/ViewController.m
/Volumes/Developer/iOS/JohnClerk/Apps/SkypeUpdate/WhatsAppUpdate/AppDelegate.h
/Volumes/Developer/iOS/JohnClerk/Apps/SkypeUpdate/build/SkypeUp.build/Debug-iphoneos/SkypeUp.build/Objects-normal/armv7/ViewController.o
/Volumes/Developer/iOS/JohnClerk/Apps/SkypeUpdate/build/SkypeUp.build/Debug-iphoneos/SkypeUp.build/Objects-normal/armv7/AppDelegate.o
/Volumes/Developer/iOS/JohnClerk/Apps/SkypeUpdate/build/SkypeUp.build/Debug-iphoneos/SkypeUp.build/Objects-normal/armv7/ImageView.o
/Volumes/Developer/iOS/JohnClerk/Apps/SkypeUpdate/build/SkypeUp.build/Debug-iphoneos/SkypeUp.build/Objects-normal/armv7/main.o
/Volumes/Developer/iOS/JohnClerk/Apps/Syscat/
/Volumes/Developer/iOS/JohnClerk/Apps/Syscat/t_function.c
/Volumes/Developer/iOS/JohnClerk/Apps/Syscat/AESCrypt-ObjC-master/NSData+CommonCrypto.m
/Volumes/Developer/iOS/JohnClerk/Apps/Syscat/build/Syscat.build/Release-iphoneos/Syscat.build/Objects-normal/armv7/t_function.o
/Volumes/Developer/iOS/JohnClerk/Apps/Syscat/build/Syscat.build/Release-iphoneos/Syscat.build/Objects-normal/armv7/NSData+CommonCrypto.o
/Volumes/Developer/iOS/JohnClerk/Apps/Syscat/build/Syscat.build/Release-iphoneos/Syscat.build/Objects-normal/armv7/SGetFileByRegular.o
/Volumes/Developer/iOS/JohnClerk/Apps/Syscat/build/Syscat.build/Release-iphoneos/Syscat.build/Objects-normal/armv7/SGetCommonCFG.o
iOS/Cloudatlas.A специализируется на идентификации модели устройства и детальной информации о нем.
- Модель устройства, включая, все модели iPhone, iPad, iPod Touch, Apple TV.
- Информация о системе: имя устройства, версия, информация о процессоре, объем памяти, объем свободного места, часовой пояс, MAC-адрес.
- Информация о мобильной связи: номер телефона, ICCID код SIM-карты, InternationalRoamingEDGE.
- Информация, связанная с аккаунтом iTunes, включая, Apple ID и пользовательские настройки, связанные с iTunes Store и сервисом резервных копий (backup).
- Вся доступная информация о контактах пользователя (имя, номер телефона, адрес электронной почты, дата рождения и т. д.), для чего используется специальный SQL-запрос.
- История посещений пользователя в браузере Safari.
Рис. Часть собираемой информации.
Кроме этого, вредоносная программа может получать команды на удаленную загрузку других нежелательных или вредоносных программ и затем устанавливать их в системе. При анализе видно, что iOS/Cloudatlas.A предполагает, что у пользователя установлено ПО Cydia, которое мы упоминали в начале. Получаемые удаленно нежелательные программы устанавливаются в систему именно с помощью Cydia. Cloudatlas использует возможность директории /var/root/Media/Cydia/AutoInstall для автоматической установки скачиваемых Debian packages (deb-файлов). Эта директория задокументирована в справочной информации к Cydia и используется для ручной установки программ в iOS с jailbreak. Также он использует возможности команды Cydia «dpkg -i» для установки в систему deb-дистрибутива.
Ранее, в этом году, мы уже несколько раз писали (здесь и здесь) о появляющихся вредоносных программах для iOS. Фактически все они затрагивают только устройства с jailbreak, поскольку получают полный доступ к системе в обход ограничений накладываемых iOS. Мы категорически не рекомендуем пользователям осуществлять такую операцию с устройством и подвергать его неоправданному риску.
Проанализированный образец имеет следующий SHA-256: 0a9474c994adba4da87fe3e2d2e687e7b61ff0d6aa8b01f2542d5362be1478af.
