Palo Alto Networks ha descubierto una nueva familia de
malware para Apple OS X y dispositivos iOS, bautizada como WireLurker.
WireLurker se ha
extendido originalmente a través de Maiyadi (http://app.maiyadi.com), una
tienda de aplicaciones China no oficial. El sitio Maiyadi es un portal chino de
noticias y recursos relacionados con Apple. La tienda de aplicaciones Maiyadi
es un sitio conocido por albergar aplicaciones para Mac, iPhone e iPad
pirateadas. En los pasados seis meses, se han detectado 467 aplicaciones
infectas que se han descargado un total de 356.104 veces, lo que implica miles
de usuarios infectados.
WireLurker infecta
sistemas OS X y se queda a la espera de que se conecte un dispositivo iOS.
Momento en el que instalará aplicaciones de terceros o generará de forma
automática aplicaciones maliciosas en el dispositivo conectado,
independientemente de si tiene jailbreak o no. Cualquier dispositivo iOS que se
conecte a un sistema OS X infectado, también quedará infectado. Esta es la
razón del nombre "Wire Lurker" ("fisgón de cable").
Según Palo Alto
Networks WireLurker, para evitar la ingeniería inversa este malware exhibe una
estructura de código compleja, múltiples versiones de componentes, ocultación
de archivos, ofuscación de código y cifrado personalizado.
Este es el
primer malware que automatiza la generación de aplicaciones iOS maliciosas, a
través de reemplazar el archivo binario. También es el primer malware conocido
que puede infectar aplicaciones iOS instaladas en un dispositivo de forma
similar a la de un virus tradicional.
Como no podía
ser de otra forma, WireLurker es capaz de robar una variedad de información de
los dispositivos móviles infectados y pide regularmente actualizaciones desde
un centro de comando y control de los atacantes. Este malware está en
desarrollo activo y el objetivo último de su creador no es todavía claro. En
cualquier momento puede recibir una actualización que cambie su forma de
actuación en los dispositivos infectados.
No existe una
única versión de WireLurker, desde el 30 de abril al 17 de octubre de 2014 se
han detectado tres versiones distintas de WireLurker (A, B y C). Cada una de
las versiones ha significado una evolución y nuevas funcionalidades. Mientras
que la primera versión no descargaba ninguna aplicación, la versión B
descargaba dos aplicaciones: "lszr2" (un juego para iOS) y
"pphelper" (un cliente de una tienda de aplicaciones iOS no oficial).
Por su parte, WireLurker.C descarga una aplicación
"7b9e685e89b8c7e11f554b05cdd6819a" (un lector de comics). Los nombres
mostrados en el teléfono son todos en caracteres chinos.
WireLurker
troyaniza aplicaciones OS X e iOS mediante el reemplazo de archivos ejecutables
reempaquetados. Esta técnica es simple de implementar y efectiva, por lo que
seguramente nuevo malware para OS X e iOS empleará esta técnica en el futuro.
De forma similar a la del aumento de APKs maliciosas reempaquetadas por los
creadores de malware.
El ataque de
dispositivos iOS sin jailbreak a través de conexiones USB, no es nuevo, ya
existían pruebas de concepto disponibles desde hace algo más de un año. Ni
siquiera se trata del primer malware en emplear esta técnica, en junio de 2014
los laboratorios Kaspersky descubrieron una versión iOS del spyware Mekie que
usaba conexiones USB en Windows y OS X para infectar dispositivos iOS (con jailbreak). WireLurker se trata de la segunda
familia que usa esta estrategia para infectar los dispositivos, sin embargo la
diferencia entre Mekie y WireLurker es que el nuevo malware también infecta
dispositivos sin jailbreak.
Palo Alto
Networks destaca el incremento de malware destinado a atacar dispositivos iOS
con jailbreak, durante 2014 se han detectado seis nuevas familias contra
dispositivos con esta modificación.
Pero la gran
novedad de WireLurker está en la infección a dispositivos sin jailbreak. Para
ello emplea un perfil de aprovisionamiento empresarial, característica
destinada a la distribución de aplicaciones creadas por empresas para su uso
interno. El uso de aprovisionamiento empresarial explica cómo se pueden
instalar aplicaciones en dispositivos iOS sin jailbreak. Sin embargo, al
ejecutar por primera vez la aplicación infectada en iOS, se presenta un diálogo
que solicita confirmación para abrir una aplicación de terceros. Si el usuario
opta por continuar, se instalará un perfil de aprovisionamiento empresarial de
terceras partes y WireLurker habrá comprometido con éxito ese dispositivo sin
jailbreak. Por lo demás, la aplicación infectada funcionará de igual forma que
la aplicación legítima.
Palo Alto
Networks confirma que ha enviado cinco archivos diferentes de WireLurker (de
las tres versiones detectadas) a VirusTotal, sin embargo ninguno de los 55
antivirus ha detectado este nuevo malware.
Para la detección, los usuarios de Mac e iOS deben
revisar los procesos y archivos en sus ordenadores Mac y dispositivos iOS. Palo
Alto Networks ofrece un programa en Python para sistemas OS X para detectar
archivos conocidos como maliciosos y sospechosos, así como las aplicaciones que
muestran características de infección.
Más información:
Fuente:
Hispasec