WireLurker se ha extendido
originalmente a través de Maiyadi (
http://app.maiyadi.com),
una tienda de aplicaciones China no oficial. El sitio
Maiyadi
es un portal chino de noticias y recursos relacionados con Apple.
La tienda de aplicaciones
Maiyadi es un sitio
conocido por albergar aplicaciones para Mac, iPhone e iPad pirateadas. En los pasados seis meses, se han detectado 467
aplicaciones infectas que se han descargado un total de 356.104 veces, lo que
implica miles de usuarios infectados.
WireLurker infecta sistemas OS X
y se queda a la espera de que se conecte un dispositivo iOS. Momento en el que instalará
aplicaciones de terceros o generará de forma automática aplicaciones maliciosas
en el dispositivo conectado, independientemente de si tiene jailbreak o no.
Cualquier dispositivo iOS que se conecte a un sistema OS X infectado, también
quedará infectado. Esta es la razón del nombre "Wire Lurker" ("fisgón
de cable").
Según Palo Alto Networks WireLurker, para evitar la ingeniería inversa este
malware exhibe una estructura de código compleja,
múltiples versiones de componentes,
ocultación de archivos, ofuscación de código
y cifrado personalizado.
Este es el primer malware que
automatiza la generación de aplicaciones iOS maliciosas, a través de reemplazar
el archivo binario. También es el primer malware conocido que puede infectar
aplicaciones iOS instaladas en un dispositivo de forma similar a la de un virus
tradicional.
Como no podía ser de otra forma, WireLurker es capaz de
robar una variedad de información
de los dispositivos móviles infectados y pide regularmente actualizaciones
desde un centro de comando y control de los atacantes. Este malware está en desarrollo activo y el objetivo último de su creador no es todavía claro.
En cualquier momento puede recibir una actualización que cambie su forma de
actuación en los dispositivos infectados.
No existe una única versión de
WireLurker, desde el 30 de abril al 17 de octubre de 2014 se han detectado tres
versiones distintas de WireLurker (A, B y C). Cada una de las versiones ha
significado una evolución y nuevas funcionalidades. Mientras que la primera
versión no descargaba ninguna aplicación, la versión B descargaba dos
aplicaciones: "lszr2" (un
juego para iOS) y "pphelper"
(un cliente de una tienda de aplicaciones iOS no oficial). Por su parte,
WireLurker.C descarga una aplicación "7b9e685e89b8c7e11f554b05cdd6819a"
(un lector de comics). Los nombres mostrados en el teléfono son todos en caracteres
chinos.
WireLurker troyaniza aplicaciones
OS X e iOS mediante el reemplazo de archivos
ejecutables reempaquetados. Esta técnica es simple de implementar y efectiva, por lo
que seguramente nuevo malware para OS X e iOS empleará
esta técnica en el futuro. De forma similar
a la del aumento de APKs maliciosas
reempaquetadas por los creadores de malware.
El ataque de dispositivos iOS sin
jailbreak a través de conexiones USB, no es nuevo, ya existían pruebas de
concepto disponibles desde hace algo más de un año. Ni siquiera se trata del
primer malware en emplear esta técnica, en junio de 2014 los laboratorios
Kaspersky descubrieron una versión iOS del spyware Mekie que usaba conexiones
USB en Windows y OS X para infectar dispositivos iOS (con jailbreak). WireLurker se trata de la segunda
familia que usa esta estrategia para infectar los dispositivos, sin embargo la
diferencia entre Mekie y WireLurker es que el nuevo malware también infecta
dispositivos sin jailbreak.
Palo Alto Networks destaca el
incremento de malware destinado a atacar dispositivos iOS con jailbreak,
durante 2014 se han detectado seis nuevas familias contra dispositivos con esta
modificación.
Pero la gran novedad de
WireLurker está en la infección a dispositivos sin jailbreak. Para ello emplea un
perfil de aprovisionamiento empresarial, característica destinada a la
distribución de aplicaciones creadas por empresas para su uso interno. El uso de aprovisionamiento
empresarial explica cómo se pueden
instalar aplicaciones en dispositivos iOS sin jailbreak. Sin
embargo, al ejecutar por primera vez la aplicación
infectada en iOS, se presenta un diálogo que solicita confirmación para abrir una aplicación de terceros. Si el usuario opta por continuar, se
instalará un perfil de aprovisionamiento empresarial de
terceras partes y WireLurker habrá comprometido con éxito ese
dispositivo sin jailbreak. Por lo demás, la aplicación
infectada funcionará de igual forma que la aplicación legítima.
Palo Alto Networks confirma que
ha enviado cinco archivos diferentes de WireLurker (de las tres versiones
detectadas) a VirusTotal, sin embargo ninguno de los 55 antivirus ha detectado
este nuevo malware.
Para la detección,
los usuarios de Mac e iOS deben revisar los procesos y archivos en sus ordenadores Mac y dispositivos iOS. Palo Alto Networks
ofrece un programa en Python para sistemas
OS X para
detectar archivos conocidos como maliciosos y sospechosos, así como las aplicaciones
que muestran características de infección.
Esta herramienta está disponible
desde:
Más información:
WireLurker: A New Era in iOS and
OS X Malware
