WireLurker는 iOS와 Mac뿐만 아니라 Windows PC에도 위협을 가합니다

Table Of Contents

• WireLurker for Windows
• Windows Version considered as the Earliest variant of WireLurker
• How the WireLurker Spreads

WireLurker for Windows

AlienVault의 연구자들은 Windows 장치를 사용하여 확산되는 WireLurker의 오래된 버전을 발견했습니다. 이 변종을 발견한 AlienVault Labs의 Jaime Blasco는 Palo Alto Networks Inc에 이를 알렸고, 이후 이 악성코드의 Windows 변종에 대한 새로운 보고서를 재발표했습니다.

이전 연구 논문에서는 WireLurker가 OS X 응용 프로그램을 사용하여 iOS 장치를 감염시키며, 악성코드의 Windows 버전에 대한 세부 정보는 없었습니다.

Windows Version considered as the Earliest variant of WireLurker

WireLurker의 Windows 변종은 Palo Alto Networks의 보고서에 따르면 사용자 “ekangwen206”에 의해 Baidu YunPan(바이두의 공공 클라우드 저장 서비스)를 통해 배포되었습니다.

이 사용자는 총 247개의 파일을 업로드했으며, 이 중 180개의 Windows 실행 파일과 67개의 OS X 응용 프로그램이 포함되어 있었고, 이는 Mayaidi 앱 스토어 감염 거의 한 달 전인 3월 12일과 13일에 업로드되었습니다. 이 파일들 중 대부분은 WireLurker가 숨겨진 인기 앱의 불법 복제 버전을 통해 퍼졌습니다. 이러한 앱에는 Facebook, Whatsapp, Instagram, Twitter, iBooks, iMovies, Calculator, Keynote, Flappy Bird 등이 포함되어 있습니다. 이 파일들은 총 65,213회 다운로드되었으며, 그 중 약 97.7%가 Windows 샘플에 대한 다운로드였습니다.

How the WireLurker Spreads

피해자가 Windows 장치에서 파일을 다운로드하고 실행하면, Apple China의 공식 사이트에서 iTunes를 다운로드하라는 메시지가 표시됩니다. 이미 설치되어 있는 경우, iTunes 인터페이스는 피해자가 자신의 장치를 연결하고 불법 복제된 iOS 앱을 설치할 때 “iOS 장치 연결 대기 중”이라는 메시지를 표시합니다. 악성코드는 설치되지만, 이는 탈옥된 iOS 장치에서만 가능합니다.

후자는 Mac OS X의 후손과 매우 유사하여, 도난당한 데이터를 동일한 명령 및 제어 서버로 전송하고 Maiyadi 앱 스토어를 사용하여 업데이트를 확인합니다.

Palo Alto Networks는 이미 Antivirus, ISP 및 기타 보안 공급업체가 WireLurker 탐지를 위해 제품을 업데이트할 수 있도록 업데이트를 발표했습니다.

WireLurker는 Github에 공개된 오픈소스 코드를 사용하여 감지할 수도 있습니다 https://github.com/PaloAltoNetworks-BD/WireLurkerDetector