Dispositivi Apple presi di mira da un nuovo malware dannoso "WireLurker"

WireLurker è una minaccia seria per gli utenti iOS e MAC!!!

I ricercatori della sicurezza di Palo Alto Networks Inc hanno identificato una nuova variante di malware chiamata “WireLurker” che è considerata una minaccia importante per gli utenti iOS e MAC. L’infezione da malware WireLurker è considerata uno dei più grandi attacchi ai dispositivi Apple e utilizza applicazioni OS X per infettare i dispositivi iOS.

I ricercatori hanno dichiarato “la scoperta di WireLurker segna una nuova era di malware”

Aumento e diffusione

WireLurker, che è emerso in Cina ed è principalmente rivolto agli utenti cinesi di dispositivi Apple, è stato rilevato quando un utente si è reso conto che il suo iPhone stava eseguendo compiti che non avrebbe dovuto. Questo malware è in circolazione da sei mesi e la parte più sorprendente è che i ricercatori non sanno ancora molto su cosa dovrebbe fare questo malware.

Metodi di propagazione

Chiunque sia familiare con i dispositivi Apple conosce il suo famoso approccio del giardino recintato. Questo approccio garantisce che agli utenti sia consentito l’accesso solo a contenuti regolati da Apple stessa. Da un punto di vista della sicurezza, questo rende molto difficile per il malware entrare in un dispositivo Apple. Questo è stato principalmente il motivo per cui i prodotti Apple sono resistenti al malware. Tuttavia, questo malware riesce a decimare il giardino recintato.

Questo malware non solo utilizza un percorso unico per entrare nei dispositivi, ma ha persino creato un nuovo percorso per se stesso. WireLurker infetta i dispositivi iOS tramite un MacBook. Si scarica su un MacBook e poi si nasconde nell’ombra, aspettando che l’utente colleghi un dispositivo iOS. Una volta rilevato un dispositivo iOS, cerca di scoprire se è jailbroken o meno. Se è jailbroken, WireLurker esegue il backup delle app del dispositivo sul Mac, dove le riunisce con malware, e poi installa le versioni infette di nuovo sul dispositivo iOS.

Se non era jailbroken – il che è il caso della maggior parte dei dispositivi iOS – WireLurker sfrutta una tecnica creata da Apple per consentire alle aziende di installare software speciale sui telefoni e tablet del personale. Questo comportava il posizionamento di app infette sul dispositivo che erano state firmate con un falso “certificato aziendale” – un codice aggiunto a un prodotto che dovrebbe dimostrare che proviene da una fonte affidabile. Per garantire che il dispositivo avesse accettato questo certificato, è stata effettuata una richiesta di autorizzazione che si è aperta sul dispositivo iOS mirato al primo tentativo dell’utente di eseguire un’app infetta. Ha semplicemente chiesto il permesso di eseguire l’app, ma se l’utente ha cliccato “continua” ha installato un codice chiamato “profilo di provisioning”, che ha detto al dispositivo iOS che poteva fidarsi di qualsiasi altra app che venisse con lo stesso certificato aziendale.

“WireLurker è diverso da qualsiasi cosa abbiamo mai visto in termini di malware per Apple iOS e OS X,” ha dichiarato Ryan Olson, direttore dell’intelligence dell’azienda. “Le tecniche in uso suggeriscono che i malintenzionati stanno diventando più sofisticati quando si tratta di sfruttare alcune delle piattaforme desktop e mobili più conosciute al mondo.”

App di terze parti

Abbiamo menzionato che WireLurker stava creando i propri mezzi per diffondersi. Lo fa infettando i codici sorgente di altre app genuine. Le app interessate includono quelle ben note come Angry Birds. Quando tali app vengono infettate, il malware è destinato a diffondersi ampiamente. Queste app infette non vengono scaricate dall’Apple play store ma da negozi di app di terze parti. Indagini hanno rivelato un totale di 467 programmi Mac elencati nel Maiyadi App Store che erano stati compromessi per includere il malware, che a sua volta era stato scaricato 356.104 volte al 16 ottobre.

Apple ha rilasciato una breve dichiarazione. “Siamo a conoscenza di software dannoso disponibile da un sito di download rivolto agli utenti in Cina, e abbiamo bloccato le app identificate per impedirne il lancio,” ha detto. “Come sempre, raccomandiamo agli utenti di scaricare e installare software da fonti affidabili.”

Per minimizzare il rischio di attacco, raccomandiamo ai nostri utenti:

• Non scaricare app Mac da negozi di terze parti

• Non jailbreakare i dispositivi iOS

• Non collegare i propri dispositivi iOS a computer e accessori non affidabili, sia per copiare informazioni che per caricare le macchine

• Non accettare richieste per un nuovo “profilo di provisioning aziendale” a meno che non provenga da una parte autorizzata, ad esempio il dipartimento IT del datore di lavoro