Уязвимость Masque и другие Malware для Apple

Monah 02.06.201516.03.2017 Дайджест

В ноябре 2014 года фирма FireEye обнародовала информацию об уязвимости Masque. Она устанавливает вредоносное приложение поверх уже существующего и получает доступ ко всем его файлам.

Для успешной атаки вредоносное приложение должно иметь тот же самый bundle identifier, признак enterprise provisioning, а также быть подписанным цифровым сертификатом, выданным Apple.

Уязвимость можно эксплуатировать только для сторонних приложений, например для встроенного в iOS браузера Safari это не сработает. В результате замены приложений появляется возможность доступа к данным этого приложения, интересующим злоумышленников.

Например, можно заменить клиент Gmail и получить доступ к переписке и адресной книге. Причем все эти манипуляции можно производить в отношении устройств без jailbreak.

Lingid-Tema: дайджест статей №1010 -> 01.06.14
Gid-Mor: дайджест статей №937 -> 14.08.14
Lin-Ddddd: дайджест статей №605 -> 22.08.14
Lin-Favorit: дайджест статей №781 -> 21.11.13
Lin-Bahus: дайджест статей №973 -> 14.04.11
Linuxgid-Ooo: дайджест статей №978 -> 28.08.12
Gid-Volk: дайджест статей №927 -> 26.12.14
Lingid-Happy: дайджест статей №514 -> 14.10.14
Lingid-Vova: дайджест статей №958 -> 13.05.12
Lin-Voropayev: дайджест статей №930 -> 13.03.14

Crisis

Исследователь внутренностей Maс OS X под псевдонимом reverser (reverse.put.as) провел детальный анализ Mac-версии Crisis и сделал выводы, что квалификация разработчиков оставляет желать лучшего.

Несмотря на обширный шпионский функционал, малварь не содержит в себе никаких новых идей, служит образцом массового заимствования сторонних разработок, написана в «индусском» стиле, и многие вещи в ней можно было сделать лучше и эффективнее.

Еще одно интересное наблюдение от reverser: судя по всему, все обнаруженные образцы Crisis относятся к 2012 году, несмотря на то что их находили и в 2013, и в 2014 годах.

Lin-Radya1991: дайджест статей №1022 -> 12.10.14
Lin-Tequila: дайджест статей №970 -> 14.07.10
Gid-1974: дайджест статей №439 -> 17.03.13
Lin-Ablikim: дайджест статей №693 -> 16.03.11
Gid-Mw003: дайджест статей №850 -> 24.01.14

Clapzok.A

В 2013 году был обнаружен первый настоящий вирус для Mac и не только. Представляет собой концептуальную разработку, иллюстрирующую возможность заражения Windows-, Linux- и Mac-платформы.

Основан на исходном коде 2006 года разработки, за авторством некого JPanic, вредонос имел труднопроизносимое название CAPZLOQ TEKNIQ v1.0. Так что можно сказать, что Clapzok.A — версия номер два. Написан на ассемблере.