viernes, 7 de noviembre de 2014

WireLurker, nuevo malware para iOS y OS X

Palo Alto Networks ha descubierto una nueva familia de malware para Apple OS X y dispositivos iOS, bautizada como WireLurker.


WireLurker se ha extendido originalmente a través de Maiyadi (http://app.maiyadi.com), una tienda de aplicaciones China no oficial. El sitio Maiyadi es un portal chino de noticias y recursos relacionados con Apple. La tienda de aplicaciones Maiyadi es un sitio conocido por albergar aplicaciones para Mac, iPhone e iPad pirateadas. En los pasados seis meses, se han detectado 467 aplicaciones infectas que se han descargado un total de 356.104 veces, lo que implica miles de usuarios infectados.

WireLurker infecta sistemas OS X y se queda a la espera de que se conecte un dispositivo iOS. Momento en el que instalará aplicaciones de terceros o generará de forma automática aplicaciones maliciosas en el dispositivo conectado, independientemente de si tiene jailbreak o no. Cualquier dispositivo iOS que se conecte a un sistema OS X infectado, también quedará infectado. Esta es la razón del nombre "Wire Lurker" ("fisgón de cable").

Según Palo Alto Networks WireLurker, para evitar la ingeniería inversa este malware exhibe una estructura de código compleja, múltiples versiones de componentes, ocultación de archivos, ofuscación de código y cifrado personalizado.

Este es el primer malware que automatiza la generación de aplicaciones iOS maliciosas, a través de reemplazar el archivo binario. También es el primer malware conocido que puede infectar aplicaciones iOS instaladas en un dispositivo de forma similar a la de un virus tradicional.

Como no podía ser de otra forma, WireLurker es capaz de robar una variedad de información de los dispositivos móviles infectados y pide regularmente actualizaciones desde un centro de comando y control de los atacantes. Este malware está en desarrollo activo y el objetivo último de su creador no es todavía claro. En cualquier momento puede recibir una actualización que cambie su forma de actuación en los dispositivos infectados.

No existe una única versión de WireLurker, desde el 30 de abril al 17 de octubre de 2014 se han detectado tres versiones distintas de WireLurker (A, B y C). Cada una de las versiones ha significado una evolución y nuevas funcionalidades. Mientras que la primera versión no descargaba ninguna aplicación, la versión B descargaba dos aplicaciones: "lszr2" (un juego para iOS) y "pphelper" (un cliente de una tienda de aplicaciones iOS no oficial). Por su parte, WireLurker.C descarga una aplicación "7b9e685e89b8c7e11f554b05cdd6819a" (un lector de comics). Los nombres mostrados en el teléfono son todos en caracteres chinos.

WireLurker troyaniza aplicaciones OS X e iOS mediante el reemplazo de archivos ejecutables reempaquetados. Esta técnica es simple de implementar y efectiva, por lo que seguramente nuevo malware para OS X e iOS empleará esta técnica en el futuro. De forma similar a la del aumento de APKs maliciosas reempaquetadas por los creadores de malware.

El ataque de dispositivos iOS sin jailbreak a través de conexiones USB, no es nuevo, ya existían pruebas de concepto disponibles desde hace algo más de un año. Ni siquiera se trata del primer malware en emplear esta técnica, en junio de 2014 los laboratorios Kaspersky descubrieron una versión iOS del spyware Mekie que usaba conexiones USB en Windows y OS X para infectar dispositivos iOS (con  jailbreak). WireLurker se trata de la segunda familia que usa esta estrategia para infectar los dispositivos, sin embargo la diferencia entre Mekie y WireLurker es que el nuevo malware también infecta dispositivos sin jailbreak.

Palo Alto Networks destaca el incremento de malware destinado a atacar dispositivos iOS con jailbreak, durante 2014 se han detectado seis nuevas familias contra dispositivos con esta modificación.

Al ejecutar una aplicación iOS infectada pedirá confirmación
Fuente: Palo Alto Networks
Pero la gran novedad de WireLurker está en la infección a dispositivos sin jailbreak. Para ello emplea un perfil de aprovisionamiento empresarial, característica destinada a la distribución de aplicaciones creadas por empresas para su uso interno. El uso de aprovisionamiento empresarial explica cómo se pueden instalar aplicaciones en dispositivos iOS sin jailbreak. Sin embargo, al ejecutar por primera vez la aplicación infectada en iOS, se presenta un diálogo que solicita confirmación para abrir una aplicación de terceros. Si el usuario opta por continuar, se instalará un perfil de aprovisionamiento empresarial de terceras partes y WireLurker habrá comprometido con éxito ese dispositivo sin jailbreak. Por lo demás, la aplicación infectada funcionará de igual forma que la aplicación legítima.

Palo Alto Networks confirma que ha enviado cinco archivos diferentes de WireLurker (de las tres versiones detectadas) a VirusTotal, sin embargo ninguno de los 55 antivirus ha detectado este nuevo malware.

Para la detección, los usuarios de Mac e iOS deben revisar los procesos y archivos en sus ordenadores Mac y dispositivos iOS. Palo Alto Networks ofrece un programa en Python para sistemas OS X para detectar archivos conocidos como maliciosos y sospechosos, así como las aplicaciones que muestran características de infección.
Esta herramienta está disponible desde:

Más información:

WireLurker: A New Era in iOS and OS X Malware



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada