Todo sobre la Vulnerabilidad detrás de WireLurker

Un grupo de investigadores afirmaron ayer haber descubierto la vulnerabilidad detrás del malware WireLurker, que infecta dispositivos móviles con el sistema operativo iOS a través de conexiones a Mac OS X

Un grupo de investigadores afirmaron ayer haber descubierto la vulnerabilidad detrás del malware WireLurker, que infecta dispositivos móviles con el sistema operativo iOS a través de conexiones a Mac OS X y Windows.

La vulnerabilidad tiene por nombre “Masque“. Afecta a los sistemas operativos iOS 7.1.1, 7.1.2, 8.0, 8.1, y 8.1.1 beta. Lo más interesante es que, si bien los primeros reportes sugerían que el malware infectaba los dispositivos de iOS a través de una conexión USB, los investigadores de la compañía FireEye dijeron ayer que Masque se cuela también a través de  correos electrónicos y mensajes SMS. En el último caso, el atacante obliga a sus víctimas a seguir enlaces que lo llevan a aplicaciones maliciosas.

Técnicamente, Masque otorga a los cibercriminales la capacidad de reemplazar aplicaciones legítimas de Apple por otras maliciosas sin notificación previa. La falla, en parte, se relaciona con un error al momento de comprobar la identidad de las app en contra de su propio certificado digital cuando el desarrollador no la sube a la App Store. Así, iOS no marca los certificados de WireLurker que habían sido legítimamente firmados –aunque usando un certificado distinto- porque el malware carga directamente la aplicación al teléfono del usuario desde la computadora de escritorio o portátil. Por esta razón, a diferencia de malwares que se han visto en iOS en el pasado, WireLurker puede infectar a los dispositivos a pesar de que estos no tengan Jailbreak.

Según FireEye, WireLurker es el único malware que por el momento está atacando de forma salvaje la vulnerabilidad Masque (que permanece sin parche). En este punto, es importante dar credito a Apple por haber actuado rápido para invalidar los certificados digitales usados por el malware. Poco después de que la firma de seguridad de Palo Alto Networks publicara sus hallazgos en torno a WireLurker la semana pasada, el grupo responsable del malware cesó sus operaciones. Sin embargo, cuando todavía estaba en marcha y funcionaba, su objetivo era infectar equipos de Windows y Mac, donde permanecían latentes hasta que el usuario conectaba su iPhone o iPod a su computadora personal infectada. Una vez que esto ocurría, el malware buscaba aplicaciones populares en el dispositivo conectado, las desinstalaba y las reemplazaba con réplicas falsas e infectadas. Todavía no está claro cuáles datos buscaba el malware.

Según pudo averiguar Kaspersky Lab, por el momento, los únicos usuarios que fueron afectados por WireLurker son aquellos que descargaron el programa de fotografías Meitu, la aplicación de subastas en línea Taobao o la aplicación de pagos AliPay desde una tienda china llamada Maiyadi.

Los investigadores de Palo Alto aseguraron que ya fueron encontradas 467 aplicaciones de OS X infectadas en Maiyadi y que éstas han sido descargadas más de 350.000 veces desde el 16 de octubre por más de 100.000 usuarios.

“La necesidad de contar con una protección anti-malware en dispositivos de Mac OS X no puede ser subestimada”, explicó el equipo de investigación y análisis global de Kaspersky (GReAT) en un reporte de Securelist.”No sólo se trata de que tu equipo Mac OS X pueda infectarse; WireLurker nos mostró que la infección puede pasar fácilmente desde tu Mac a tu iPhone. La buena noticia es que hay varias opciones de seguridad para elegir, entre ellas  Kaspersky Internet Security para Mac“.

 

Traducido por Maximiliano De Benedetto

Consejos