WireLurker – Un avanzado malware que opera en IOS y Mac OS X

1

Wirelurker ataca Mac OSInvestigadores de Unit42, un grupo de expertos que trabaja para Palo Alto Networks, han publicado hace escasos días informaciones referentes a un nuevo malware, de características avanzadas (ataca dispositivos sin Jailbreak) y que afecta equipos con IOS y Mac OS X.

Wirelurker – Trojan.OSX.wirelurker

Es el nombre que recibe este nuevo malware para dispositivos de Apple, que afecta a variantes de escritorio y smartphones o tablets. Veamos algunas de las características de los ataques lanzados por Wirelurker:

  • Emplea muestras de malware conocidas y distribuídas mediante apps “troyanizadas” o reempaquetadas para OS X. Esto ocurre en una escala mucho mayor de lo que había sucedido hasta ahora.
  • Es la segunda familia de malware conocida que ataca dispositivos iOS cuando estos están conectados a un equipo Mac OS X mediante USB.
  • Es el primer malware con capacidad para automatizar la generación de apps maliciosas para iOS, mediante el reemplazo de archivos binarios.
  • Es el primer malware que puede infectar apps para iOS ya instaladas, como haría cualquier virus tradicional.
  • Es el primer malware capaz de instalar apps de terceros, en sistemas iOS que no han realizado Jailbreak.

Mediante Wirelurker se han “troyanizado” hasta el momento cerca de 500 aplicaciones para Mac OS X (en la Maiyadi App Store, un portal chino de apps). En los últimos 6 meses, estas 467 apps han sido descargadas más de 356000 veces pudiendo haber afectado a cientos de miles de otros equipos.

Funcionamiento de Wirelurker

Lo primero que hace Wirelurker es monitorizar cualquier dispositivo iOS que pueda estar conectado a un equipo Mac OS que esté previamente infectado. Entonces instalará apps de terceros o apps maliciosas generadas de forma automática en el dispositivo, sin importar si tiene derechos de superusuario (Jailbreak), motivo por el que se le conoce como “wirelurker“.

Los expertos han probado métodos similares de ataque en dispositivos sin jailbreak antes de este. Sin embargo, este malware combina ciertas técnicas que lo hacen novedoso como amenaza para dispositivos iOS.

Wirelurker posee una estructura de código compleja, con versiones múltiples para cada componente y ocultación de archivos, además ofuscación de código y un método de encriptado fuerte para protegerse a sí mismo. Esto impide los intentos de analizar el malware mediante ingeniería inversa.

Tocado, pero no hundido

Wirelurker es capaz de robar información de muy diverso tipo desde dispositivos móviles que ha infectado, comprobando regularmente si puede actualizarse desde su servidor de Control. El malware está todavía evolucionando y en fase de desarrollo, sin que sepamos claramente los objetivos de los creadores.

Wirelurker ha provocado las siguientes infecciones de troyanos en los últimos días y regiones

Aunque se han cerrado algunos de los servidores de Control en los últimos meses, con lo que la actividad de la amenaza ha disminuido, Wirelurker sigue estando lo suficientemente activo como para tomarlo como una amenaza seria.

Atribución de Wirelurker

Según algunas investigaciones realizadas por un colaborador chino, conjuntamente con Unit42, se sabe que el responsable del malware (o el más relevante, al menos):

  • Vivía en Beijing.
  • Usaba el nombre de Bei Li en dos apps publicadas en la App Store (ya eliminadas) con un ID de desarrollador asociado 127863672.
  • Trabajó en una compañía de Pingguoyuan (Beijing).
  • Se graduó en la Academmia de ingeniería de Shenyang en 2003.

Pasos para mantenernos protegidos

Os recomendamos tener en cuenta los siguientes consejos, sobre todo si administráis una red corporativa con equipos BYOD o suites MDM que engloban diferentes aparatos móviles:

  1. Las empresas deberían asegurarse de que todo el tráfico de dispositivos móviles, pasa a su vez por un filtro IPS oSistema de Prevención de Intrusiones.
  2. Empleo de un antivirus o suite de seguridad para equipos Mac OS X, manteniendo las firmas de virus actualizadas.
  3. En el apartado de preferencias de Mac OS X, dentro de Seguridad y Privacidad, aseguraos de que solo están marcadas como permitidas las aplicaciones descargadas desde la Mac App Store (o Mac App Store y desarrolladores identificados).
  4. No descarguéis ni abráis apps o juegos de Mac desde tiendas de terceros u orígenes no comprobables.
  5. No instaléis ni abráis ejecutables o archivos que realicen cambios en el equipo y que el departamento responsable de vuestra empresa haya autorizado previamente.
  6. Aseguraos de que Mac OS X está siempre actualizado.
  7. Es conveniente evitar emparejar nuestro dispositivo iOS con ordenadores o smartphones que no sean de confianza.
  8. Además, es recomendable evitar conectar nuestros dispositivos iOS a ordenadores que utilicen accesorios (cargadores, cables, estaciones) cuyo origen no se pueda determinar.
  9. Preferiblemente evitaremos realizar Jailbreak en nuestro smartphone iOS. En caso de hacerlo, que sea únicamente a través de la comunidad Cydia y evitando almacenar información sensible en el aparato.
  10. Por último, Unit 42 pone a vuestra disposición un detector de Wirelurker, que podéis descargar desde GitHub.
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR