muroanxfile019
Member
Một loại malware mới đặc biệt thông minh gọi là WireLurker vừa xuất hiện, và khá bất thường ở chỗ là nó đang nhắm vào iOS và OS X. Đáng chú ý hơn là WireLurker độc hại một cách bất ngờ, có thể đã lây nhiễm cho hàng trăm ngàn người dùng iOS và OS X. Trong khi malware trên OS X xưa nay không phải là hiếm, nhưng chúng ta hầu như không nghĩ rằng iOS lại dễ bị tấn công như vậy, thậm chí ngay cả khi thiết bị của bạn chưa bị jailbreak, vẫn có thể bị nhiễm bệnh. Cho đến nay, có vẻ như các phần mềm độc hại chưa thực sự làm được gì nhiều - nhưng theo các nhà nghiên cứu bảo mật, một khi bạn đang bị nhiễm malware này, WireLurker liên tục yêu cầu cập nhật từ một lệnh và kiểm soát máy chủ, rằng bất cứ người nào tạo ra malware này đều chưa hoàn tất nó. Ít nhất, WireLurker có thể sẽ được sử dụng để đánh cắp các địa chỉ liên lạc từ sổ địa chỉ của bạn, và thu được bất kỳ chi tiết nhạy cảm hay mật khẩu nào.
WireLurker được phát hiện và mô tả chi tiết bởi bộ phận ngăn ngừa các mối đe dọa của Palo Alto Networks. Theo lời của Palo Alto Networks thì vector tấn công rất phức tạp, và "với khả năng lây nhiễm trên cả các thiết bị iOS chưa được jailbreak thông qua các ứng dụng OS X được đóng gói lại và chứa trojan độc hại, nó đã đánh dấu một kỷ nguyên mới với các malware trên các nền tảng máy tính và di động của Apple."
Tóm lại, việc lây nhiễm WireLurker ban đầu xuất phát từ một app store bên thứ ba dành cho Mac OS X (trong trường hợp này là app store Maiyadi từ Trung Quốc). Một khi bạn tải về và cài đặt một ứng dụng bị nhiễm vào máy tính OS X của mình, quá trình đã bắt đầu với không chút nghi ngờ nào. Nếu sau đó bạn cắm một thiết bị iOS vào máy tính OS X bị nhiễm bệnh, WireLurker tự cài đặt trên thiết bị iOS này. Bằng cách sử dụng hệ thống dự phòng dành cho doanh nghiệp trên iOS (một phương pháp thường được dành riêng cho các công ty sideload các ứng dụng trực tiếp vào các thiết bị iOS của công ty đó) WireLurker thậm chí có thể lây nhiễm sang các thiết bị không jailbreak.
Một khi WireLurker đã có mặt trên iPhone hoặc iPad của bạn, nó sẽ làm một số điều kỳ lạ và phi thường khiến bạn phải ngạc nhiên. Nếu bạn chưa jailbreak, WireLurker chỉ đơn giản là cài đặt và sideload thêm các ứng dụng từ iTunes App Store. Nếu bạn đã jailbreak, nó sẽ làm nhiều thứ hơn thế, bao gồm cả lây nhiễm và cài mã độc lên ứng dụng hiện có trên thiết bị iOS của bạn và sao lưu chúng lên máy Mac. Trong cả hai trường hợp, WireLurker liên tục ping tới một máy chủ lệnh trung tâm, mà có thể gây ra một bản cập nhật thực thi mã độc, hoặc hướng dẫn WireLurker thu hoạch và truyền tải các chi tiết thông tin nhạy cảm từ điện thoại của bạn.
Malware trên iOS, thật khó tin?
Có lẽ từ trước đến nay chúng ta không nghi ngờ khi cho rằng các hệ điều hành của Apple, đặc biệt là iOS, đều khá an toàn. Phần mềm độc hại trên iOS hầu như chưa từng nghe đến, và số lượng các tấn công trên OS X khai thác được có thể đếm trên đầu ngón tay (botnet Flashback là một trong những ví dụ lớn chỉ trong thời gian gần đây). Tin tốt là, WireLurker dường như không khai thác một lỗ hổng mới theo kiểu zero-day, thay vào đó, bạn cần phải làm theo một loạt khá dài các tác vụ phiền phức khi thiết bị của mình chẳng may bị nhiễm bệnh.
Để bắt đầu, bạn cài đặt một ứng dụng Mac OS X bị nhiễm bệnh. Tôi không nói rằng App Store chính thức của Mac có thể đảm bảo lọc được các phần mềm độc hại ở hình thức miễn phí, nhưng tôi nghi ngờ quá trình rà soát và phê chuẩn với nhiều lỏng lẻo hơn từ một app store bên thứ ba là nguyên nhân khởi nguồn. Khi bạn cài đặt một ứng dụng trên OS X từ một nguồn bên thứ ba, bạn phải bấm qua một vài hộp thoại yêu cầu nếu bạn thực sự chắc chắn rằng bạn muốn chạy nó. Tương tự như vậy, khi WireLurker muốn lây nhiễm trên thiết bị iOS của bạn, nó sẽ lợi dụng hệ thống dự phòng doanh nghiệp để mở các hộp thoại xác nhận giống như thế.
Nói tóm lại, hiện có khá nhiều dấu hiệu cảnh báo rằng điều này vẫn đang diễn ra, mặc dù Palo Alto Networks đã thống kê có tới 467 ứng dụng bị nhiễm bệnh đã được tải về hơn 350.000 lần tại app store bên thứ ba Maiyadi của Trung Quốc. Công ty chưa có con số cụ thể bao nhiêu người đã để lây nhiễm malware này lên các thiết bị iOS của họ, nhưng có lẽ đó là một tỷ lệ đáng kể. Rõ ràng, điều đó thúc đẩy Apple cung cấp nhiều hơn các pop-up xác nhận và cảnh báo bảo mật, nhưng nhiều người, đôi khi họ chỉ muốn cài đặt các ứng dụng cho có thì có lẽ họ sẽ liên tục nhấn "Next" mà không cần đọc hay suy nghĩ gì về thông báo trên các pop-up đó.
Thực sự khó nói trước về những gì sẽ xảy ra tiếp theo. Nhưng dường như, WireLurker và tác giả của nó vẫn chỉ mới bắt đầu. Thời điểm hiện tại, WireLurker chưa làm được gì nhiều, nhưng Palo Alto Networks cũng lưu ý rằng, "Các thiết bị bị nhiễm malware này thường xuyên yêu cầu cập nhật từ lệnh của những kẻ tấn công, đồng thời kiểm soát máy chủ, các tính năng mới hoặc các ứng dụng có thể được cài đặt bất cứ lúc nào. Rõ ràng là bộ công cụ của nó vẫn còn trải qua quá trình phát triển tích cực và chúng tôi tin WireLurker chưa tiết lộ đầy đủ chức năng của nó". Chúng ta không bỏ qua nguy cơ WireLurker có thể lây nhiễm lên các ứng dụng trong App Store chính thức của Mac, và do đó lây lan tới hàng triệu thiết bị iOS trên toàn thế giới, nhưng tôi chắc chắn rằng nhóm bảo mật của Apple bây giờ đã đề cao cảnh giác nhằm bảo vệ chống lại một kịch bản như vậy. Cài đặt một phần mềm quét malware cập nhật hàng ngày trên máy Mac của bạn cũng là một ý tưởng tốt giúp bạn tránh được sự xâm phạm của loại malware mới này.
WireLurker được phát hiện và mô tả chi tiết bởi bộ phận ngăn ngừa các mối đe dọa của Palo Alto Networks. Theo lời của Palo Alto Networks thì vector tấn công rất phức tạp, và "với khả năng lây nhiễm trên cả các thiết bị iOS chưa được jailbreak thông qua các ứng dụng OS X được đóng gói lại và chứa trojan độc hại, nó đã đánh dấu một kỷ nguyên mới với các malware trên các nền tảng máy tính và di động của Apple."
Lưu đồ tiến trình hoạt động của WireLucker
Tóm lại, việc lây nhiễm WireLurker ban đầu xuất phát từ một app store bên thứ ba dành cho Mac OS X (trong trường hợp này là app store Maiyadi từ Trung Quốc). Một khi bạn tải về và cài đặt một ứng dụng bị nhiễm vào máy tính OS X của mình, quá trình đã bắt đầu với không chút nghi ngờ nào. Nếu sau đó bạn cắm một thiết bị iOS vào máy tính OS X bị nhiễm bệnh, WireLurker tự cài đặt trên thiết bị iOS này. Bằng cách sử dụng hệ thống dự phòng dành cho doanh nghiệp trên iOS (một phương pháp thường được dành riêng cho các công ty sideload các ứng dụng trực tiếp vào các thiết bị iOS của công ty đó) WireLurker thậm chí có thể lây nhiễm sang các thiết bị không jailbreak.
Một khi WireLurker đã có mặt trên iPhone hoặc iPad của bạn, nó sẽ làm một số điều kỳ lạ và phi thường khiến bạn phải ngạc nhiên. Nếu bạn chưa jailbreak, WireLurker chỉ đơn giản là cài đặt và sideload thêm các ứng dụng từ iTunes App Store. Nếu bạn đã jailbreak, nó sẽ làm nhiều thứ hơn thế, bao gồm cả lây nhiễm và cài mã độc lên ứng dụng hiện có trên thiết bị iOS của bạn và sao lưu chúng lên máy Mac. Trong cả hai trường hợp, WireLurker liên tục ping tới một máy chủ lệnh trung tâm, mà có thể gây ra một bản cập nhật thực thi mã độc, hoặc hướng dẫn WireLurker thu hoạch và truyền tải các chi tiết thông tin nhạy cảm từ điện thoại của bạn.
Malware trên iOS, thật khó tin?
Có lẽ từ trước đến nay chúng ta không nghi ngờ khi cho rằng các hệ điều hành của Apple, đặc biệt là iOS, đều khá an toàn. Phần mềm độc hại trên iOS hầu như chưa từng nghe đến, và số lượng các tấn công trên OS X khai thác được có thể đếm trên đầu ngón tay (botnet Flashback là một trong những ví dụ lớn chỉ trong thời gian gần đây). Tin tốt là, WireLurker dường như không khai thác một lỗ hổng mới theo kiểu zero-day, thay vào đó, bạn cần phải làm theo một loạt khá dài các tác vụ phiền phức khi thiết bị của mình chẳng may bị nhiễm bệnh.
Pop-up xác nhận mở WireLucker thông qua hệ thống dự phòng doanh nghiệp (Enterprise Provisioning) trên iPhone, một cách lây nhiễm của loại malware này.
Để bắt đầu, bạn cài đặt một ứng dụng Mac OS X bị nhiễm bệnh. Tôi không nói rằng App Store chính thức của Mac có thể đảm bảo lọc được các phần mềm độc hại ở hình thức miễn phí, nhưng tôi nghi ngờ quá trình rà soát và phê chuẩn với nhiều lỏng lẻo hơn từ một app store bên thứ ba là nguyên nhân khởi nguồn. Khi bạn cài đặt một ứng dụng trên OS X từ một nguồn bên thứ ba, bạn phải bấm qua một vài hộp thoại yêu cầu nếu bạn thực sự chắc chắn rằng bạn muốn chạy nó. Tương tự như vậy, khi WireLurker muốn lây nhiễm trên thiết bị iOS của bạn, nó sẽ lợi dụng hệ thống dự phòng doanh nghiệp để mở các hộp thoại xác nhận giống như thế.
Nói tóm lại, hiện có khá nhiều dấu hiệu cảnh báo rằng điều này vẫn đang diễn ra, mặc dù Palo Alto Networks đã thống kê có tới 467 ứng dụng bị nhiễm bệnh đã được tải về hơn 350.000 lần tại app store bên thứ ba Maiyadi của Trung Quốc. Công ty chưa có con số cụ thể bao nhiêu người đã để lây nhiễm malware này lên các thiết bị iOS của họ, nhưng có lẽ đó là một tỷ lệ đáng kể. Rõ ràng, điều đó thúc đẩy Apple cung cấp nhiều hơn các pop-up xác nhận và cảnh báo bảo mật, nhưng nhiều người, đôi khi họ chỉ muốn cài đặt các ứng dụng cho có thì có lẽ họ sẽ liên tục nhấn "Next" mà không cần đọc hay suy nghĩ gì về thông báo trên các pop-up đó.
Thực sự khó nói trước về những gì sẽ xảy ra tiếp theo. Nhưng dường như, WireLurker và tác giả của nó vẫn chỉ mới bắt đầu. Thời điểm hiện tại, WireLurker chưa làm được gì nhiều, nhưng Palo Alto Networks cũng lưu ý rằng, "Các thiết bị bị nhiễm malware này thường xuyên yêu cầu cập nhật từ lệnh của những kẻ tấn công, đồng thời kiểm soát máy chủ, các tính năng mới hoặc các ứng dụng có thể được cài đặt bất cứ lúc nào. Rõ ràng là bộ công cụ của nó vẫn còn trải qua quá trình phát triển tích cực và chúng tôi tin WireLurker chưa tiết lộ đầy đủ chức năng của nó". Chúng ta không bỏ qua nguy cơ WireLurker có thể lây nhiễm lên các ứng dụng trong App Store chính thức của Mac, và do đó lây lan tới hàng triệu thiết bị iOS trên toàn thế giới, nhưng tôi chắc chắn rằng nhóm bảo mật của Apple bây giờ đã đề cao cảnh giác nhằm bảo vệ chống lại một kịch bản như vậy. Cài đặt một phần mềm quét malware cập nhật hàng ngày trên máy Mac của bạn cũng là một ý tưởng tốt giúp bạn tránh được sự xâm phạm của loại malware mới này.
Theo Extremetech
)
