Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/11/2014
WireLurker: nou malware apunta usuaris d'Apple
S’ha descobert un nou programari maliciós que té com a blanc d’atac computadores Mac d’Apple i a iPhones, denominat WireLurker -el primer conegut que pot infectar iPhones que no han sigut alliberats.
ESET detecta esta amenaça com a OSX/WireLurker.A. Infecta usuaris a través de la botiga xinesa d’aplicacions de tercers per a Mac denominada Maiyadi. Una vegada en la iMac o Macbook, espera que es produïsca una connexió via USB d’un iPhone o iPad, i només es connecta el dispositiu a l’equip, WireLurker es propagarà al dispositiu.
Una vegada allà, els seus pròxims passos dependran de si l’iPhone està alliberat, és a dir, si se li va fer jailbreak. Neowin referix que podria o bé injectar una aplicació “de prova” perquè l’usuari crega que és legítima -The Independent afirma que se l’ha observat descarregar un lector de tires còmiques que es veia inofensiu, amb el probable fi de verificar si el programari maliciós funciona correctament-, o bé reemplaçar determinades aplicacions de transferència de diners. Ho aconseguix aprofitant-se del sistema d’Apple per a posar a disposició aplicacions d’empreses, que permet fer-ho en massa sense necessitat de passar per l’App Store.
Segons la BBC, al voltant de 400 aplicacions van ser infectades amb WireLurker, i van ser descarregades prop de 350 mil vegades. Com s’origina en la botiga d’apps no oficial Maiyadi, afecta dispositius a la Xina, principalment. L’amenaça va ser detectada primer al juny per Pal Alt Networks, que va confirmar que 467 programes de Mac disponibles en la botiga xinesa Maiyadi havien sigut compromesos per a inserir-los el programari maliciós; entre estos figuraven jocs populars com ara Angry Birds, The Sims 3, Pro Evolution Soccer 2014 i Battlefield: Bad Company 2.
Una vegada en la Mac, WireLurker es comunicava amb un centre de comandament i control (C&C) per verificar si era necessari actualitzar-ne el codi, i després esperava que es connectara un iPhone, iPad o iPod a l’equip infectat. Quan, en efecte, un dispositiu iOS es connectava, procedia a verificar si estava fet o no el jailbreak, procés usat de vegades per a remoure algunes de les restriccions d’Apple i instal·lar-hi aplicacions que no provinguen de la botiga oficial App Store.
Si estava alliberat, WireLurker feia una còpia de seguretat de les aplicacions del dispositiu en la Mac, on les infectava, i després instal·lava les versions infectades novament en el sistema iOS. Però si l’equip no tenia fet el jailbreak, la qual cosa passa en la majoria dels dispositius iOS, WireLurker aprofitava la tècnica d’Apple, que permet, a les empreses, instal·lar programari especial en els dispositius dels seus empleats. El que fa, en este cas, és reemplaçar una aplicació que ja està (probablement ho prenga com una actualització), i apunta a aplicacions de pagament. D’esta manera, és possible que tracte de robar informació de pagament o inclús faça compres.
Mentrestant, PC World referix que el programari maliciós pot “recol·lectar registres de crides, contactes de la llibreta d'adreces, i una altra informació sensible”, però els investigadors afirmen que el seu objectiu final, encara no està clar, al notar que està sota desenrotllament en forma activa.
Segons referixen els mitjans esmentats, Apple ha llançat un comunicat que diu:
Estem al corrent d’un programari maliciós disponible en un lloc de descàrrega per a usuaris a la Xina, i hem bloquejat les aplicacions identificades per a previndre que es posen a disposició. Com sempre, recomanem que els usuaris descarreguen i instal·len programari de fonts segures.
D’esta manera, podem observar com després del recent llançament de l'iPhone 6, els cibercriminals continuen buscant la forma d’arribar cada vegada a més víctimes, i pareix que s'enfoquen a crear amenaces per a dispositius d’Apple, mentres en la comunitat continua ressonant, des de fa molts anys, la idea que Mac no necessita antivirus. Però en 10 anys de programari maliciós per a Mac, hem vist que els intents estan a l’orde del dia.