Dalla Cina giunge una nuova minaccia per l’ecosistema Apple. Stavolta, però, le cose sono molto diverse dal solito; mediamente, i malware su OS X richiedono all’utente una dose generosa di impegno per la loro propagazione: cose come il download dell’installer, l’immissione della password di amministratore e così via. WireLurker, invece, è capace di infettare perfino gli iPhone senza jailbreak. Ecco perché gli esperti parlano di “una nuova era negli attacchi alla piattaforme desktop e mobili di Apple.”
I ricercatori del Palo Alto Networks hanno pubblicato i risultati di una ricerca che evidenzia l’esistenza di una nuova classe di malware che colpisce OS X e iOS attraverso la porta USB. È il primo del suo genere a infettare le app come i comuni virus; è addirittura capace di installare app di terze parti su iOS anche in assenza di jailbreak “attraverso certificati enterprise.”
Cos’è e come si propaga WireLurker
Il primo focolaio è nato in Cina, ed è presente in almeno 467 app per OS X ospitate sul Maiyadi App Store, una sorta di Mac App Store cinese alternativo a quello ufficiale e infarcito di software piratato. Le app infette sono state scaricate non meno di di 350.000 volte e così il malware si è propagato su centinaia di migliaia di utenti.
A fare veramente paura, tuttavia, è l’efficacia sui dispositivi non-jailbroken:
WireLurker monitora i dispositivi iOS connessi via USB ad un computer OS X infetto, e vi installa sopra applicazioni di terze parti o applicazioni malevole generate automaticamente, a prescindere che sia presente o meno il jailbreak. Questa è la ragione per cui l’abbiamo chiamato “wire lurker” cioè “in agguato nel cavo.” I ricercatori hanno dimostrato metodi simili di attacco su dispositivi non-jailbroken prima di oggi, tuttavia questo malware combina una serie di tecniche per realizzare con successo un nuovo tipo di minaccia verso tutti i dispositivi iOS.
WireLurker mostra una struttura del codice complessa, versioni multiple dei componenti, offuscamento del codice, occultamento dei file, e una particolare tecnica di crittografia che rende difficile il reverse-engineering
Una volta installato, WireLurker ruba le informazioni personali dal dispositivo iOS, i contatti, gli iMessage e così via, e può perfino contattare i server remoti per richiedere aggiornamenti. Al momento versa in stato di “pieno sviluppo” ma ha un “obiettivo finale non chiaro.”
Come difendersi
Per evitare un contagio, l’unico modo è quello di adottare comportamenti virtuosi, ed evitare ogni possibilità di contagio. Il che significa evitare l’installazione di applicazioni e certificati che provengono da fonti non sicure; Cydia, per esempio, è una di queste, e qualunque software pirata su Bit Torrent a questo punto diventa un’incognita. Finché restate nel reame del Mac App Store e dell’App Store, quindi, siete a posto. Ma è fondamentale anche evitare di collegare l’iPhone e l’iPad a computer non affidabili, e per sicurezza sarebbe addirittura consigliabile evitare di ricaricare il dispositivo con caricabatterie provenienti da fonti sconosciute.
