WireLurker, el malware que ataca los Mac OS X y dispositivos iOS

6 Nov 2014

Ha surgido en estos últimos días  una nueva familia de malware llamada WireLurker, que es capaz de infectar tanto los dispositivos que ejecutan la plataforma iOS tanto de móvil Apple como también del escritorio del sistema operativo de Mac OS X. La compañía de seguridad Palo Alto Networks que descubrió esta amenaza, cree que WireLurker podría guiar una nueva era malware de Apple.

apple1

Durante años, los expertos han venido advirtiendo sobre un ataque de este malware que tiene como objetivo los sistemas Apple. De forma igualmente hiperbólica, los fans más fervientes de las empresas de informática de Cupertino, California, han reclamado que sus equipos son inmunes al malware. Como en la mayoría de los casos, la realidad está en el punto intermedio: el malware de Apple, sin duda, existe, pero no está tan extendido como el malware de Windows o Android.

“WireLurker fue utilizado para troyanizar 467 aplicaciones deOS X en la App Store de Maiyadi, una tienda de aplicaciones Mac independiente de Apple en China”, dijo el investigador Claud Xiao, de Palo Alto Networks. “En los últimos seis meses, estas 467 aplicaciones afectadas han sido descargadas más de 356.104 veces y pueden haber afectado a a cientos de miles de usuarios”.

Los productos de Kaspersky Lab detectan y bloquean amenazas como la del  troyano Trojan Downloader.OSX.WireLurke.a, entonces deberías estar protegido.

Para ser claros: esta amenaza solo ha infectado a usuarios de un mercado popular de aplicaciones de China, pero eso no significa que no se pueda propagar a otros lugares.

Lo interesante es que WireLurker, a diferencia de las principales amenazas de iOS, es que puede infectar dispositivos sin jailbreak. Este hecho es uno de los factores por los que Palo Alto Networks cree que puede ser un punto de inflexión para el malware de Apple.

Los otros factores son que WireLurker resulta ser una operación a gran escala a comparación con las familias anteriores de malwares de Apple; es la segunda amenaza conocida que es capaz de atacar dispositivos iOS vía USB (mientras están enchufados a tu Mac); puede generar aplicaciones maliciosas automáticamente y, también, es el primer malware capaz de infectar aplicaciones iOS que ya están instaladas.

La manera en que WireLurker funciona es moviéndose por vectores de infección estándar para infectar equipos Mac. Luego espera a que el usuario enchufe su dispositivo iOS al puerto USB de su Mac. Una vez enchufado, el WireLurker empieza a instalar aplicaciones maliciosas en tu dispositivo iOS. En concreto, busca tres aplicaciones populares, las variedades chinas de eBay, PayPal y un editor de fotos popular. Luego desinstala las versiones legítimas de esas aplicaciones y las reemplaza con versiones maliciosas.

Pantalla de instalación de aplicaciones infectadas por WireLurker.

Pantalla de instalación de aplicaciones infectadas por WireLurker. (imagen de Palo Alto Networks)

Al principio, los investigadores dijeron que WireLurker estaba en desarrollo activo, por lo que seguirá cambiando, y en este punto es imposible saber cuál es su principal objetivo. Poco antes de su publicación, Palo Alto Networks le dijo a Threatpost que Apple se ha movido rápido para revocar los certificados del malware WireLurker y que sus autores han detenido la operación del malware desde entonces.

Palo Alto Networks está ofreciendo una variedad de consejos sobre cómo mantenerse a salvo de WireLurker. La mayoría de estas recomendaciones  están orientadas a empresas, pero hay algunas cosas que queremos reiterar para que puedas proteger tus equipos personales:

  1. Ejecuta un antivirus y mantenlo actualizado.
  2. Verifica tus “preferencias del sistema” de OS X, y luego la “seguridad y privacidad” y ajústalo de manera que solo aceptes descargas de la App Store y de desarrolladores identificados (Ver el siguiente vídeo).

  1. En esa nota: no descargues aplicaciones de terceros.
  2. Mantén actualizados tu iOS y OS X.
  3. Cuidado con cargar tu dispositivo iOS en ordenadores que no son tuyos.

Nuestros amigos de Kaspersky Lab están investigando WireLurker mientras lees esto, y tendrán su propio análisis sobre el tema más tarde en la Viruslist. Dicho esto, los productos de Kaspersky Lab detectan y bloquean las amenazas como la de Trojan-Downloader.OSX.WireLurker.a, por lo tanto, deberías estar protegido.

Actualización: Nuestros expertos dijeron que los primeros signos de la existencia del malware Wirelurker fueron detectadas por nuestros investigadores ya en julio de 2014 y una investigación adicional reveló que hubo discusiones sobre el malware en algunos foros de Asia ya hacia finales de mayo de 2014. También hay una versión para Windows del software malicioso, que apunta a la infección de los iPhones conectados al PC. La versión más antigua encontrada de este malware fue compilada en marzo de 2014. Kaspersky Security Network ya ha registrado detecciones del malware, si bien no mucho (menos de 20 intentos hasta la fecha), la mayoría de ellos en China. Puedes leer la historia completa en Securelist.com