WireLurker, nuevo malware para iOS y OS X

Palo Alto Networks ha descubierto una nueva familia de malware para
Apple OS X y dispositivos iOS, bautizada como WireLurker.

WireLurker se ha extendido originalmente a través de Maiyadi
(http://app.maiyadi.com), una tienda de aplicaciones China no oficial.
El sitio Maiyadi es un portal chino de noticias y recursos relacionados
con Apple. La tienda de aplicaciones Maiyadi es un sitio conocido por
albergar aplicaciones para Mac, iPhone e iPad pirateadas. En los pasados
seis meses, se han detectado 467 aplicaciones infectas que se han
descargado un total de 356.104 veces, lo que implica miles de usuarios
infectados.

WireLurker infecta sistemas OS X y se queda a la espera de que se
conecte un dispositivo iOS. Momento en el que instalará aplicaciones de
terceros o generará de forma automática aplicaciones maliciosas en el
dispositivo conectado, independientemente de si tiene jailbreak o no.
Cualquier dispositivo iOS que se conecte a un sistema OS X infectado,
también quedará infectado. Esta es la razón del nombre “Wire Lurker”
(“fisgón de cable”).

Según Palo Alto Networks WireLurker, para evitar la ingeniería inversa
este malware exhibe una estructura de código compleja, múltiples
versiones de componentes, ocultación de archivos, ofuscación de código
y cifrado personalizado.

Este es el primer malware que automatiza la generación de aplicaciones
iOS maliciosas, a través de reemplazar el archivo binario. También es el
primer malware conocido que puede infectar aplicaciones iOS instaladas
en un dispositivo de forma similar a la de un virus tradicional.

Como no podía ser de otra forma, WireLurker es capaz de robar una
variedad de información de los dispositivos móviles infectados y pide
regularmente actualizaciones desde un centro de comando y control de los
atacantes. Este malware está en desarrollo activo y el objetivo último
de su creador no es todavía claro. En cualquier momento puede recibir
una actualización que cambie su forma de actuación en los dispositivos
infectados.

No existe una única versión de WireLurker, desde el 30 de abril al 17 de
octubre de 2014 se han detectado tres versiones distintas de WireLurker
(A, B y C). Cada una de las versiones ha significado una evolución y
nuevas funcionalidades. Mientras que la primera versión no descargaba
ninguna aplicación, la versión B descargaba dos aplicaciones: “lszr2”
(un juego para iOS) y “pphelper” (un cliente de una tienda de
aplicaciones iOS no oficial). Por su parte, WireLurker.C descarga una
aplicación “7b9e685e89b8c7e11f554b05cdd6819a” (un lector de comics). Los
nombres mostrados en el teléfono son todos en caracteres chinos.

WireLurker troyaniza aplicaciones OS X e iOS mediante el reemplazo
de archivos ejecutables reempaquetados. Esta técnica es simple de
implementar y efectiva, por lo que seguramente nuevo malware para OS X
e iOS empleará esta técnica en el futuro. De forma similar a la del
aumento de APKs maliciosas reempaquetadas por los creadores de malware.

El ataque de dispositivos iOS sin jailbreak a través de conexiones USB,
no es nuevo, ya existían pruebas de concepto disponibles desde hace algo
más de un año. Ni siquiera se trata del primer malware en emplear esta
técnica, en junio de 2014 los laboratorios Kaspersky descubrieron una
versión iOS del spyware Mekie que usaba conexiones USB en Windows y OS X
para infectar dispositivos iOS (con jailbreak). WireLurker se trata
de la segunda familia que usa esta estrategia para infectar los
dispositivos, sin embargo la diferencia entre Mekie y WireLurker es
que el nuevo malware también infecta dispositivos sin jailbreak.

Palo Alto Networks destaca el incremento de malware destinado a atacar
dispositivos iOS con jailbreak, durante 2014 se han detectado seis
nuevas familias contra dispositivos con esta modificación.

Pero la gran novedad de WireLurker está en la infección a dispositivos
sin jailbreak. Para ello emplea un perfil de aprovisionamiento
empresarial, característica destinada a la distribución de aplicaciones
creadas por empresas para su uso interno. El uso de aprovisionamiento
empresarial explica cómo se pueden instalar aplicaciones en dispositivos
iOS sin jailbreak. Sin embargo, al ejecutar por primera vez la
aplicación infectada en iOS, se presenta un diálogo que solicita
confirmación para abrir una aplicación de terceros. Si el usuario opta
por continuar, se instalará un perfil de aprovisionamiento empresarial
de terceras partes y WireLurker habrá comprometido con éxito ese
dispositivo sin jailbreak. Por lo demás, la aplicación infectada
funcionará de igual forma que la aplicación legítima.

Palo Alto Networks confirma que ha enviado cinco archivos diferentes de
WireLurker (de las tres versiones detectadas) a VirusTotal, sin embargo
ninguno de los 55 antivirus ha detectado este nuevo malware.

Para la detección, los usuarios de Mac e iOS deben revisar los procesos
y archivos en sus ordenadores Mac y dispositivos iOS. Palo Alto Networks
ofrece un programa en Python para sistemas OS X para detectar archivos
conocidos como maliciosos y sospechosos, así como las aplicaciones que
muestran características de infección.
Esta herramienta está disponible desde:
tor” target=”_blank”>https://github.com/PaloAltoNetworks-BD/WireLurkerDetector

Ver mas informacion original al respecto en Fuente:
http://unaaldia.hispasec.com/2014/11/wirelurker-nuevo-malware-para-ios-y-os-x.html

y se puede complementar con la información de esta otra Fuente:

http://www.seguridad.unam.mx/noticia/?noti=2013

saludos

ms, 10-11-2014