Apple

Trojan WireLurker, ok su Apple ma rinasce su Windows

Apple dice che ha stroncato sul nascere il trojan WireLurker, recentemente scoperto prendere di mira dispositivi iOS. Tuttavia, sembra che la minaccia era più diffusa di quanto precedentemente ipotizzato, dopo che i ricercatori hanno scoperto che una variante del malware è stata utilizzata su Windows per attaccare dispositivi Apple.

“Siamo consapevoli dell’esistenza di software dannoso su un sito di download rivolto agli utenti in Cina, e abbiamo bloccato le applicazioni identificate per impedirne l’esecuzione. Come sempre, consigliamo agli utenti di scaricare e installare software provenienti da fonti sicure”, ha detto un portavoce di Apple in una dichiarazione a Business Insider. Apple non ha risposto alla richiesta di commento.

wire-lurker-trojan-malware-informatblog

In sostanza per contrastare l’attacco Apple ha revocato la fiducia ad un certificato di crittografia che aveva precedentemente rilasciato a uno sviluppatore. I ricercatori della società di sicurezza Palo Alto hanno scoperto il malware WireLurker all’inizio di questa settimana, esso attacca i dispositivi iOS tramite collegamento USB a sistemi OS X infetti per dirottare le informazioni degli utenti. Il malware è stato notevole per la sua capacità di generare automaticamente malware per iOS – anche se sul dispositivo non è stato eseguito il jailbreak.

WireLurker è in grado di installare applicazioni di terzi sui dispositivi iOS senza jailbreak attraverso una funzionalità nota come “enterprise provisioning”, che si basa su un certificato dato alle aziende per creare profili utente in ambienti aziendali. Il motivo per cui è stato chiamato WireLurker è che infetta il dispositivo iOS una volta che è collegato via USB con un Mac infetto. Ci sono stati 467 pezzi di malware Mac che potrebbero infettare i dispositivi iOS in questo modo, tutto ospitato su un sito cinese chiamato Maiyadi App Store.

Fino a ieri si credeva che un Mac infetto potesse essere l’unico vettore per l’attacco, ma il ricercatore di sicurezza Jaime Blasco dell’azienda AlienVault Labs ha scoperto che vi era in realtà anche una versione Windows distribuita prima della variante Mac. Il malware di Windows appena scoperto era stato ospitato sul cloud pubblico del gigante della ricerca cinese, Baidu.

“In precedenza sapevamo che WireLurker era distribuito attraverso Maiyadi App Store. Tuttavia, alcuni campioni sono stati recentemente caricati su Baidu YunPa dall’utente ekangwen206”, hanno detto i ricercatori di Palo Alto Claud Xiao e Royce Lu in un aggiornamento. Questo utente ha caricato 180 eseguibili Windows e 67 applicazioni Mac OS X, ognuno dei quali conteneva una variante del Trojan WireLurker.

In modo simile, il malware attacca i proprietari cinesi di iOS che installano software pirata, con il malware di Windows pubblicizzato come programma di installazione per alcune applicazioni iOS pirata. Secondo Palo Alto, queste 180+67 applicazioni sono state scaricate 65.213 volte da quando sono stati caricate il 12 e il 13 marzo dello scorso anno – circa un mese prima della versione apparsa sul Mayaidi App Store. (La variante più recente era stata scaricata 356.104 volte).

Le applicazioni iOS con trojan includono versioni pirata di Facebook, WhatsApp, Twitter, Instagram, Minecraft, Flappy Bird, Bibbia, GarageBand, la calcolatrice iOS, Keynote, iPhoto, Trova il mio iPhone, iMovie e iBooks. La versione per Windows su Baidu sembra essere meno raffinata, dal momento che potrebbe solo portare a termine un attacco su dispositivi iOS con jailbreak. Tuttavia, si crede che provenga dallo stesso attaccante, oltre ad essere il primo di malware iOS che attacca l’architettura ARM64.

“La funzionalità principale di questo malware è quella di copiare i file sfbase.dylib e sfbase.plist dalla sua cartella Resources in posizioni specifiche per farli funzionare come un tweak MobileSubstrate. Inoltre, il malware comunica con il server ‘www.comeinbaby.com’, lo stesso utilizzato dalla versione di WireLurker rivelata ieri”, hanno scritto Xiao e Lu.

Anche se Apple ha revocato il certificato, l’esperto forense iOS Jonathan Zdziarski ha fatto notare che così si risolve solo una parte del rischio. “Apple può revocare il certificato per impedire l’installazione sui dispositivi iOS 8, ma WireLurker può ancora leggere le informazioni dal dispositivo senza. Questo perché le informazioni vengono inoltrate al desktop del Mac quando l’iPhone è collegato a esso, sottintendendo che sia attendibile. Inoltre, se si dispone di un iPhone con jailbreak e afc2 in esecuzione (un servizio terribilmente insicuro che consente l’accesso al file system di root del dispositivo), una libreria MobileSubstrate viene copiata sul dispositivo per infettare il sistema. Ciò avviene indipendentemente dal fatto o meno che WireLurker abbia un certificato valido”, ha scritto Zdziarski.

Ha aggiunto infine che l’attaccante potrebbe semplicemente sostituire il certificato revocato con ulteriori certificati per far rivivere il malware. Zdziarski elenca una serie di modifiche di progettazione che Apple potrebbe implementare per evitare che versioni migliorate di WireLurker tornino all’attacco.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti