Windows-троянец DualToy атакует Android и iOS

Обнаружена ориентированная на Windows троянская программа, умеющая загружать других зловредов на Android- и iOS-устройства при их подключении к USB зараженного компьютера.

По данным Palo Alto Networks, троянец, нареченный DualToy, появился в Сети полтора года назад и вначале грузил нежелательное ПО, в том числе adware, на Android-устройства. За полгода зловред эволюционировал и начал атаковать также iOS-гаджеты, устанавливая клиент App Store сторонней разработки для перехвата логинов и паролей к iTunes. «Когда DualToy только начал свое шествие в январе 2015 года, он мог инфицировать лишь Android-устройства, — свидетельствует старший вирусный аналитик Palo Alto Клод Сяо (Claud Xiao). — Первый образец DualToy, способный заражать iOS-устройства, мы обнаружили 7 июня 2015 года. Позднее, в 2016-м, появился новый вариант».

Как DualToy попадает на Windows-машины, пока неясно; проникнув на ПК, зловред, по словам исследователей, ищет iTunes и утилиту командной строки Android Debug Bridge (ADB). Если таковых не найдется, зловред загружает соответствующие драйверы, чтобы обеспечить заражение мобильного устройства при его подключении. «Хотя степень угрозы можно снизить, ограничив этот вектор атаки с помощью дополнительных механизмов (к примеру, активацией ADB, возможностями песочницы на iOS), DualToy — это лишнее напоминание о том, что с целью атаки мобильное приложение можно развернуть и через USB и что зловреды могут распространяться между платформами», — пишет Сяо.

На настоящий момент Palo Alto зафиксировала 8 тыс. уникальных сэмплов DualToy; число заражений определить пока не удалось. Риск атак на iOS, по оценке компании, невелик, так как срок действия сертификата Apple, который зловред использует для установки фальшивого клиента App Store, истек.

Исследователи также не преминули отметить, что за последние два года это уже не первый случай использования техники side-loading (установки через другую платформу) для атак на мобильные устройства. «Этот вектор атаки приобретает все большую популярность у злоумышленников, — констатирует Сяо. — Достаточно вспомнить WireLurker, который устанавливал вредоносные приложения на залоченные iPhone. Шпионский тулкит RCS от HackingTeam грузил свои мобильные модули с зараженных ПК и «маков» на разлоченные iOS-устройства и телефоны BlackBerry».

В настоящее время DualToy атакует в основном китайских пользователей, однако исследователи также обнаружили случаи заражения в США, Великобритании, Таиланде, Испании и Ирландии.

Для атаки на iOS троянцу необходимо, чтобы жертва установила доверенные взаимоотношения между ПК и iPhone или iPad. Оказавшись в системе, зловред загружает с C&C файл adb.exe — стандартную ADB-утилиту для клиентов Windows. Новейшие варианты DualToy дропают tadb.exe, кастомный клиент ADB. Троянец также загружает инсталляторы AppleMobileDeviceSupport64.msi и AppleApplicationSupport64.msi, входящие в состав официального iTunes для Windows.

На Android-устройства DualToy загружает несколько игровых приложений, оформленных на китайском языке; видимо, злоумышленникам платят за каждую установку. На iOS, как уже говорилось, троянец грузит поддельный App Store, чтобы красть учетные данные iTunes. Фейковый App Store тоже не новость, как отметил Сяо: «Это приложение — лишь еще один вариант iOS App Store сторонней разработки, такой же, как ZergHelper. По поведению он идентичен AceDeceiver. При первом запуске это приложение просит пользователя ввести его/ее Apple ID и пароль».