WireLurker ya ha infectado a cientos de miles de usuarios.
Palo Alto Networks ha alertado a Apple sobre la existencia de WireLurker y la “nueva era en el malware para OS X e iOS” por la capacidad del malware de infectar apps en iOS como los virus tradicionales.
WireLurker es un troyano que ha infectado 467 aplicaciones para OS X en la tienda china Maiyadi App Store. En los últimos 6 meses estas 467 aplicaciones infectadas fueron descargadas más de 356 mil veces afectando a cientos de miles de usuarios.
Pensando que es una app legítima, el usuario descarga la app infectada y una vez instalada el malware roba la agenda de direcciones y los mensajes de texto del usuario. WireLurker monitorea la conexión de dispositivos iOS vía USB, con o sin jailbreak.
En dispositivos libres o con jailbreak el malware busca si está instalada alguna app específica (como Meitu, Taobao, Alipay y Tencent) y de encontrarla hace una copia de seguridad de la app, la modifica y la reinstala sustituyendo la original. En dispositivos sin jailbreak el malware descarga e instala una app copia pirata del lector de cómics Manhuaba con un certificado de distribución empresarial en el iPhone, iPad o iPod touch.
El malware controla cualquier dispositivo iOS conectado vía USB a una computadora con OS X infectado. Instala aplicaciones descargadas de terceros o aplicaciones maliciosas generadas automáticamente en el dispositivo, independientemente de si está desbloqueado o no. WireLurker combina técnicas que lo hacen una amenaza única para los dispositivos iOS, como una estructura compleja de código, múltiples versiones de componente, ocultamiento de archivo, ofuscación de código y cifrado personalizado. El malware puede actualizarse automáticamente.
Es recomendable configurar la Mac para que sólo permita la descarga de aplicaciones desde la Mac App Store y desarrolladores identificados. Por supuesto mantener actualizado los sistemas y el antivirus, así como asegurarse de que sólo se permita la instalación de aplicaciones descargadas desde la Mac App Store o desde ésta y desarrolladores identificados. Evitar conectar dispositivos iOS a equipos que no sean de confianza.
La herramienta WireLurker Detector sirve identificar si la computadora con OS X ha sido infectada por WireLurker. Si está infectada entonces es recomendable borrar los archivos y aplicaciones reportadas por la herramienta, e inspeccionar todos los dispositivos iOS que se conectaron a la computadora infectada. Verificar si se ha creado algún perfil no autorizado y en caso de encontrarlo entonces borrarlo. Hacer un chequeo de todas las aplicaciones y borrar aquellas que sean extrañas o no confiable. En dispositivos con jailbreak verificar si existe el archivo “/Library/MobileSubstrate/DynamicLibraries/sfbase.dylib” y eliminarlo a través de una conexión de terminal, vía una aplicación como MobileTerminal o Secure Shell (SSH).