WireLurker menace non seulement iOS et Mac mais aussi les PC Windows

Table des matières

• WireLurker pour Windows
• Version Windows considérée comme la première variante de WireLurker
• Comment le WireLurker se propage

WireLurker pour Windows

Des chercheurs d’AlienVault ont trouvé une version plus ancienne de WireLurker qui utilise des appareils Windows pour se propager. Jaime Blasco des AlienVault Labs, qui a découvert cette variante de WireLurker, l’a signalée à Palo Alto Networks Inc, qui a ensuite publié un nouveau rapport sur la variante Windows de ce malware.

Le document de recherche précédent indiquait que WireLurker utilisait des applications OS X pour infecter des appareils iOS et qu’il n’y avait pas de détails sur la version Windows du malware.

Version Windows considérée comme la première variante de WireLurker

La variante Windows de WireLurker a été distribuée via Baidu YunPan (un service de stockage cloud public de Baidu) par l’utilisateur “ekangwen206”, a déclaré Palo Alto Network dans son rapport.

Un total de 247 fichiers ont été téléchargés par cet utilisateur, qui comprenaient 180 fichiers exécutables Windows et 67 applications OS X, et ont été téléchargés les 12 et 13 mars, presque un mois avant les infections du magasin d’applications Mayaidi. La plupart de ces fichiers étaient diffusés via la version piratée d’applications populaires telles que Facebook, Whatsapp, Instagram, Twitter, iBooks, iMovies, Calculatrice, Keynote, Flappy Bird et d’autres, qui contenaient WireLurker caché à l’intérieur. Ces fichiers ont été téléchargés un total de 65 213 fois, dont environ 97,7 % des téléchargements étaient pour des échantillons Windows.

Comment le WireLurker se propage

Après que la victime a téléchargé et exécuté le fichier sur son appareil Windows, il lui est demandé de télécharger iTunes depuis un site officiel d’Apple Chine. S’il est déjà installé, l’interface d’iTunes affiche un message “en attente de connexion de l’appareil iOS” lorsque la victime connecte son appareil et installe la version piratée de l’application iOS. Le malware s’installe également, mais uniquement sur les appareils iOS jailbreakés.

Ce dernier est très similaire à son descendant Mac OS X, où il envoie les données volées au même serveur de commande et de contrôle et utilise le magasin d’applications Maiyadi pour vérifier les mises à jour.

Palo Alto Networks a déjà publié des mises à jour pour les antivirus, les FAI et d’autres fournisseurs de sécurité afin de mettre à jour leurs produits pour la détection de WireLurker.

Le WireLurker peut également être détecté en utilisant le code open source publié sur Github https://github.com/PaloAltoNetworks-BD/WireLurkerDetector