[Actualización 07/11/14, 10:00 hs.: Palo Alto Networks informó que se ha encontrado una versión para Windows de WireLurker. Se trata de un archivo ejecutable de Windows que contiene la dirección del servidor C&C de WireLurker, muestra que, tras ser analizada, resultó ser una versión anterior de la amenaza. ESET la detecta como Win32/WireLurker.A]
Se ha descubierto un nuevo malware que tiene como blanco de ataque a computadoras Mac de Apple y a iPhones, llamado WireLurker -el primero conocido que puede infectar iPhones que no han sido liberados.
ESET detecta esta amenaza como OSX/WireLurker.A. Infecta usuarios a través de la tienda China de aplicaciones de terceros para Mac denominada Maiyadi. Una vez en la iMac o Macbook, espera que se produzca una conexión vía USB de un iPhone o iPad, y en cuanto se conecte el dispositivo al equipo, WireLurker se propagará al dispositivo.
Una vez allí, sus próximos pasos dependerán de si el iPhone está liberado, es decir, si se le hizo jailbreak. Neowin reporta que podría o bien inyectar una aplicación "de prueba" para que el usuario crea que es legítima -The Independent afirma que se lo ha observado descargar un lector de tiras cómicas que se veía inofensiva, con el probable fin de verificar si el malware funciona correctamente-, o bien reemplazar ciertas aplicaciones de transferencia de dinero. Logra esto aprovechándose del sistema de Apple para poner a disposición aplicaciones de empresas, que permite hacerlo en masa sin necesidad de pasar por la App Store.
Según la BBC, alrededor de 400 aplicaciones fueron infectadas con WireLurker, y fueron descargadas cerca de 350 mil veces. Como se origina en la tienda de apps no oficial Maiyadi, afecta dispositivos en China mayormente. La amenaza fue detectada primero en junio por Palo Alto Networks, quienes confirmaron que 467 programas de Mac disponibles en la tienda china Maiyadi habían sido comprometidos para insertarles el malware; entre ellos, figuraban juegos populares como Angry Birds, The Sims 3, Pro Evolution Soccer 2014 y Battlefield: Bad Company 2.
Una vez en la Mac, WireLurker se comunicaba con un Centro de Comando y Control (C&C) para verificar si era necesario actualizar su código, y luego esperaba a que se conectara un iPhone, iPad o iPod al equipo infectado. Cuando, en efecto, un dispositivo iOS se conectara, procedía a verificar si estaba hecho o no el jailbreak, proceso usado en ocasiones para remover algunas de las restricciones de Apple e instalar aplicaciones que no provengan de la tienda oficial App Store.
Si estaba liberado, WireLurker hacía un backup de las aplicaciones del dispositivo en la Mac, donde las infectaba, y luego instalaba las versiones infectadas de nuevo en el sistema iOS. Pero si el equipo no tenía hecho el jailbreak, lo que sucede en la mayoría de los dispositivos iOS, WireLurker aprovechaba la técnica de Apple que permite a las empresas instalar software especial en los dispositivos de sus empleados. Lo que hace en este caso es reemplazar una aplicacion que ya existe (probablemente lo tome como una actualización), apuntando a aplicaciones de pago. De esta forma, es posible que trate de robar información de pago o incluso realice compras.
En tanto, PC World reporta que el malware puede "recolectar registros de llamadas, contactos de la libreta de direcciones, y otra información sensible", pero los investigadores afirman que su objetivo final no está claro todavía, al notar que está bajo desarrollo en forma activa.
Según reportan los medios citado, Apple ha lanzado un comunicado diciendo:
Estamos al tanto de un software malicioso disponible en un sitio de descarga para usuarios en China, y hemos bloqueado las aplicaciones identificadas para prevenir que se pongan a disposición. Como siempre, recomendamos que los usuarios descarguen e instalen software de fuentes confiables.
De esta forma, podemos observar cómo tras el reciente lanzamiento del iPhone 6 los cibercriminales siguen buscando la forma de llegar a cada vez más víctimas, y parecen estar enfocándose en crear amenazas para dispositivos de Apple, mientras en la comunidad sigue resonando, desde hace muchos años, la idea de que Mac no necesita antivirus. Pero en 10 años de malware para Mac, hemos visto que los intentos estan a la orden del día.
Desde ESET, recomendamos contar con una solución de seguridad como ESET Cyber Security Pro para Mac, que permita detectar y bloquear amenazas como WireLurker.