Palo Alto Networks的研究人员说,他们发现了对Apple设备的令人印象深刻的恶意软件攻击,目前似乎仅限于中国应用商店的用户。
该活动围绕着使用“ WireLurker”感染Mac OS X应用程序,该应用程序收集了Apple Mobile设备上的通话日志,电话簿联系人和其他敏感信息。
更多的:Apple iOS,OS X Universe对Wirelurker恶意软件威胁做出反应
根据帕洛阿尔托(Palo Alto)的说法研究论文。
在过去的六个月中,这些申请和其他申请已下载356,104次“并且可能影响了成千上万的用户”报纸说。
Apple建议用户坚持从其App Store下载应用程序,该应用程序紧密地兽医,并出于安全原因远离第三方商店。
该公司威胁情报部门Palo Alto Network 42 Unit 42的情报总监Ryan Olson说,似乎有些人会求助于Maiyadi商店,因为它免费提供申请。
奥尔森在周三的电话采访中说,帕洛阿尔托分析了三个版本的Wirelurker,每个版本都对上一版进行了改进。但是,除了从移动设备收集数据之外,Wirelurker攻击似乎并没有进行。
奥尔森说:“我们认为我们有点抓住某人正在发展攻击,他们还没有达到全部攻击。”“从我们的角度来看,它仍然看起来像是一项信息收集操作。”
Wirelurker攻击是如何利用桌面MAC应用程序作为iOS攻击的一部分。如果有人从Maiyadi下载了Mac OS X桌面应用程序,则Wirelurker随身携带。
然后,Wirelurker等待何时通过USB电缆连接iOS设备。第二版Wirelurker检查了Apple设备是否被“越狱”,该术语是删除Apple用于防止用户运行未批准的应用程序的限制。
Olson说,然后看看是否安装了TAOBAO,ABOY或MEITU之类的应用程序。如果是这样,它将将应用程序复制到桌面Mac,用Wirelurker感染并将其复制回设备。
Wirelurker的第三个迭代目标是iOS设备也不越狱。在该版本中,Wirelurker使用了Apple向Enterprise Developers发行的数字证书,以便他们可以在App Store上不出现的内部运行自己的应用程序。
奥尔森说,使用数字证书意味着iOS将允许安装第三方应用程序,尽管它将向用户显示警告。如果用户批准安装,则可以与合法应用程序一起安装Wirelurker。
奥尔森说,帕洛阿尔托网络在过去几天中一直与苹果公司接触,这现在已经意识到了Wirelurker。
奥尔森说:“这里没有脆弱性,但他们当然想知道恶意软件及其工作原理。”
奥尔森说,苹果可以首先撤销Wirelurker创作者正在使用的企业数字证书。他说,该公司还可以发布更新,以检测苹果的防病毒引擎Xprotect中的Wirelurker。
将新闻提示和评论发送至jeremy_kirk@idg.com。在Twitter上关注我:@jeremy_kirk