Il malware WireLurker attacca i Mac OS X e i dispositivi iOS

7 Nov 2014

Ieri è stata scoperta una nuova familia di malware chiamata WireLurker, capace di infettare sia dispositivi mobili con sistema iOS che portatili e computer Mac con OS X. Palo Alto Networks, l’azienda di sicurezza informatica che ha scoperto la minaccia, crede che WireLurker potrebbe inaugurare una nuova era di malware per Apple.

smashedapple1

Sono anni che gli esperti ci avvisano del probabile avvento di oggetti dannosi capaci di attaccare i sistemi operativi Apple. E proprio per questo – forse il messaggio non gli è arrivato – i fan di Cupertino hanno affermato che i loro computer e dispositivi sono immuni ai malware. In realtà, come succede spesso, la verità sta nella via di mezzo: senza dubbio i malware per Apple esistono, ma non sono così diffusi come quelli per Windows e Android.

“WireLurker venne utilizzato per trasformare in Trojan 467 applicazioni per OS X sull’App Store Maiyadi, uno store per Mac esterno, creato in Cina”, afferma il ricercatore di Palo Alto Networks, Claud Xiao. “Negli ultimi 6 mesi, queste 467 app infette sono state scaricate più di 356.104 volte e hanno causato problemi a migliaia di utenti.”

I prodotti Kaspersky Lab individuano e bloccano questa minaccia nota tecnicamente come Trojan-Downloader.OSX.WireLurker.a

Per essere precisi la minaccia ha interessato solo gli utenti di un popolare marketplace cinese, ma questo non significa che il problema non si possa diffondere.

Il fatto interessante è che WireLurker, a differenza delle precedenti minacce per iOS, può infettare i dispositivi a cui non è stato fatto il jailbroking. Questo è uno dei 5 motivi che hanno portato Palo Alto Network ha pensare che per i malware per Apple si tratta di un momento decisivo.

Gli altri motivi sono i seguenti: a differenza delle precedenti famiglie di malware, WireLurker fa parte di un’operazione su grande scala; è la seconda minaccia conosciuta capace di attaccare i dispositivi iOS via USB (mentre la USB è collegata al vostro Mac); è capace di generare automaticamente applicazioni dannose; e, infine, è il primo malware conosciuto in grado di infettare app iOS già installate.

WireLurker infetta i computer Mac attraverso i vettori di infezione standard. Poi aspetta che l’utente inserisca il proprio dispositivo iOS nella porta USB del Mac. Una volta che questo avviene, WireLurker inizia a installare le applicazioni dannose sui proprio dispositivi, in particolare le seguenti tre: una versione cinese di eBay, PayPal e un popolare editor per foto. Dopodiché disinstalla la versione legittima di queste app e la rimpiazza con un copia nociva.

I ricercatori hanno affermato che WireLurker è in fase di sviluppo; probabilmente cambierà forma e non sappiamo quale sarà il prossimo passo. Palo Alto Network ha raccontato a Threatpost che Apple si è messa subito all’opera per revocare i certificati dannosi di WireLurker.

Palo Alto Networks mette a disposizione degli utenti una grande varietà di consigli sul come stare alla larga di WireLurker. La maggior parte dei consigli sono pensati per le aziende; per questo, ci sono alcune cose che ci piacerebbbe sottolineare:

1. Eseguite un prodotto di sicurezza e aggiornatelo spesso;

2. Controllate le preferenze del vostro OS X e le impostazioni di sicurezza e privacy; impostatele di modo che permetta scaricare oggetti solo dall’App Store e da sviluppatori ufficiali (date un’occhiata al video qui sotto).

3. Non scaricate applicazioni provenienti da store terzi.

4. Mantenete i vostri sistemi operativi iOS e OS X aggiornati.

5. Fate attenzione a quanto caricate il vostro dispositivo iOS collegandolo ad un computer che non è il vostro.

Noi di Kaspersky Lab stiamo facendo delle ricerche su WireLuker e potete trovare presto una nostra personale analisi su Securelist. Detto questo, i prodotti Kaspersky Lab individuano e bloccano questa minaccia nota tecnicamente come Trojan-Downloader.OSX.WireLurker.a. Perciò non vi preoccupate, siete al sicuro!

Aggiornamento: i nostri esperti hanno affermato che i primi segni dell’esistenza del malware Wirelurker sono stati rintracciati dai nostri ricercatori all’inizio del luglio del 2014 e ulteriori indagini hanno rivelato che c’è chi stava parlando del malware in alcuni forum asiatici verso la fine del maggio del 2014. Esiste inoltre una versione per Windows che puntava ad infettare gli iPhone collegati a computer Windows. Le informazioni sulla prima versione del malware sono state raccolte nel marzo del 2014.  Kaspersky Security Network ha già registrato alcuni rilevamenti; non sono molti (meno di 20 tentativi), la maggior parte dei quali localizzati in Cina. Per maggiori informazioni, vi consigliamo di leggere l’articolo di Securelist.com.