Les appareils Apple ciblés par un nouveau malware malveillant "WireLurker"

WireLurker est-il une menace sérieuse pour les utilisateurs d’iOS et de MAC !!!

Des chercheurs en sécurité de Palo Alto Networks Inc ont identifié une nouvelle variante de malware nommée “WireLurker” qui est considérée comme une menace majeure pour les utilisateurs d’iOS et de MAC. L’infection par le malware WireLurker est considérée comme l’une des plus grandes attaques contre les appareils Apple et utilise des applications OS X pour infecter les appareils iOS.

Les chercheurs ont déclaré “la découverte de WireLurker marque une nouvelle ère de malware”

Augmentation et propagation

WireLurker, qui est apparu en Chine et vise principalement les utilisateurs chinois d’appareils Apple, a été détecté lorsqu’un utilisateur a réalisé que son iPhone effectuait des tâches qu’il n’était pas censé faire. Ce malware circule depuis les six derniers mois et la partie la plus surprenante – les chercheurs ne savent toujours pas grand-chose sur ce que ce malware est censé faire.

Méthodes de propagation

Tout le monde qui est familier avec les appareils Apple connaît son célèbre approche de jardin clos. Cette approche garantit que les utilisateurs n’ont accès qu’à du contenu régulé par Apple lui-même. D’un point de vue sécurité, cela rend très difficile pour un malware d’entrer sur un appareil Apple. Cela a principalement été la raison pour laquelle les produits Apple sont résistants aux malwares. Cependant, ce malware parvient à décimer le jardin clos.

Ce malware n’utilise pas seulement une route unique pour entrer sur les appareils, il a même créé une nouvelle route pour lui-même. WireLurker infecte les appareils iOS via un MacBook. Il se télécharge sur un MacBook et attend dans l’ombre que l’utilisateur y connecte un appareil iOS. Une fois qu’il détecte un appareil iOS, il essaie de déterminer s’il est jailbreaké ou non. S’il est jailbreaké, WireLurker sauvegarde les applications de l’appareil sur le Mac, où il les reconditionne avec un malware, puis installe les versions infectées sur l’appareil iOS.

S’il n’était pas jailbreaké – ce qui est le cas de la plupart des appareils iOS – WireLurker profite d’une technique créée par Apple pour permettre aux entreprises d’installer des logiciels spéciaux sur les appareils de leurs employés. Cela impliquait de placer des applications infectées sur l’appareil qui avaient été signées avec un faux “certificat d’entreprise” – un code ajouté à un produit qui est censé prouver qu’il provient d’une source fiable. Pour s’assurer que l’appareil a accepté ce certificat, une demande d’autorisation était faite pour apparaître sur l’appareil iOS ciblé lors de la première tentative de l’utilisateur d’exécuter une application infectée. Elle demandait simplement l’autorisation d’exécuter l’application, mais si l’utilisateur cliquait sur “continuer”, elle installait un code appelé “profil de provisionnement”, qui indiquait à l’appareil iOS qu’il pouvait faire confiance à toute autre application qui venait avec le même certificat d’entreprise.

“WireLurker est différent de tout ce que nous avons jamais vu en termes de malware pour iOS et OS X,” a déclaré Ryan Olson, le directeur de l’intelligence de l’entreprise. “Les techniques utilisées suggèrent que les acteurs malveillants deviennent plus sophistiqués lorsqu’il s’agit d’exploiter certaines des plateformes de bureau et mobiles les plus connues au monde.”

Applications tierces

Nous avons mentionné que WireLurker créait ses propres moyens de se propager. Il le fait en infectant le code source d’autres applications authentiques. Les applications affectées incluent des noms bien connus comme Angry Birds. Lorsque de telles applications sont infectées, le malware est destiné à se propager largement. Ces applications infectées ne sont pas téléchargées depuis l’App Store d’Apple mais depuis des magasins d’applications tiers. Des enquêtes ont révélé qu’un total de 467 programmes Mac répertoriés sur le Maiyadi App Store avaient été compromis pour inclure le malware, qui avait été téléchargé 356 104 fois au 16 octobre.

Apple a publié une brève déclaration. “Nous sommes au courant de logiciels malveillants disponibles sur un site de téléchargement visant les utilisateurs en Chine, et nous avons bloqué les applications identifiées pour les empêcher de se lancer,” a-t-il déclaré. “Comme toujours, nous recommandons aux utilisateurs de télécharger et d’installer des logiciels provenant de sources fiables.”

Pour minimiser le risque d’attaque, nous recommandons à nos utilisateurs :

• Ne pas télécharger d’applications Mac depuis des magasins tiers
• Ne pas jailbreaker les appareils iOS
• Ne pas connecter leurs appareils iOS à des ordinateurs et accessoires non fiables, que ce soit pour copier des informations ou charger les machines
• Ne pas accepter de demandes pour un nouveau “profil de provisionnement d’entreprise” à moins qu’il ne provienne d’une partie autorisée, par exemple le département informatique de l’employeur