La firma de seguridad Palo Alto Networks ha dado la voz de alarma acerca de WireLurker, una familia de malware diseñada para atacar equipos con OS X e infectar desde ahí a dispositivos iOS conectados por USB. La compañía describe la situación como el inicio de "una nueva era en el malware para OS X e iOS", siendo la primera vez que se identifica un malware capaz de infectar apps instaladas en iOS de un modo similar a los virus tradicionales.
Según los resultados de la investigación realizada por Palo Alto Networks, WireLurker se está abriendo paso a través de la Maiyadi App Store, una tienda independiente china de aplicaciones para Mac en la que se han detectado 467 aplicaciones con el troyano en su interior. Las apps ya han sido descargadas más de 356.000 veces, afectando potencialmente a cientos de miles de usuarios.
Cómo funciona
Tras descargar el troyano y ejecutarlo en nuestro Mac creyendo que es una aplicación legítima, WireLurker pasa a monitorizar nuestro equipo a la espera de que conectemos un dispositivo iOS vía USB. Si se trata de un dispositivo con jailbreak, el malware trata de determinar si tiene instalada alguna app específica (actualmente Meitu, Taobao, Alipay y Tencent) para hacer una copia de seguridad de la misma, modificarla y reinstalarla sustituyendo la original.
Peor aún, el malware también instala una librería que funciona como un tweak de Cydia utilizando MobileSubstrate para cargarse dinámicamente en apps como Safari, Mensajes o Teléfono, y robar la agenda de direcciones y los mensajes de texto del usuario.
En el caso de los dispositivos sin jailbreak, WireLurker recurre a otro método alternativo para colarse en el iPhone, iPad o iPod touch: descargar e instalar una app con un certificado de distribución empresarial. Afortunadamente de momento esta app tan solo es una copia pirata del lector de cómics Manhuaba que podemos encontrar en la App Store, y no representa un riesgo inmediato.
Una amenaza lejana pero real
Actualmente WireLurker parece encontrarse en mitad de su desarrollo, probándose a si mismo y, quizás, demostrando sus capacidades frente a posibles compradores antes de pasar a la acción. El malware puede actualizarse automáticamente y realiza consultas frecuentes a un servidor controlado por sus autores, por lo que podría adquirir nuevas habilidades o comenzar a realizar otro tipo de acciones de la noche a la mañana.
Aún así, es importante señalar que Apple está a tiempo de ponerle freno. Su difusión a través de una tienda no oficial china, limita ya de partida considerablemente su alcance al menos en el resto del globo. El método para saltar a iOS a través de USB también es otra barrera (aunque no está confirmado si es capaz de pasar o no a través de las preferencias de "Confiar en este equipo") y finalmente, siempre que nos mantengamos lejos del jailbreak, iOS nos muestra una advertencia al intentar abrir por primera vez la app instalada sin nuestro consentimiento.
Palo Alto Networks ha alertado a Apple sobre esta amenaza así que es de suponer que se encuentran trabajando para apagar las brasas antes de que se conviertan en un fuego. Mientras tanto, es altamente recomendable configurar vuestro Mac para que tan solo permita la descarga de aplicaciones desde la Mac App Store y desarrolladores identificados (Ajustes > Seguridad y privacidad), manteneros actualizados y evitar conectar vuestro dispositivo iOS a equipos o accesorios que no sean de fiar.
Y si creéis que quizás es demasiado tarde, que tenéis instaladas aplicaciones de fuentes poco fiables, aquí tenéis la herramienta WireLurker Detector, un script de Python que podéis ejecutar desde el Terminal para comprobar si estáis o no infectados.
Vía | The New York Times
Más información | Palo Alto Networks
Ver 42 comentarios