WireLurker minaccia Mac OS X e i dispositivi iOS

Palo Alto Networks ha comunicato di aver scoperto un nuovo malware – battezzato WireLuker – capace di infettare le macchine Mac OS X ed i dispositivi Apple iOS collegati alla porta USB.
L’infezione non arriva ovviamente dallo store ufficiale di Apple, il Mac App Store ma può essere contratta visitando uno store di terze parti. Nello specifico, i tecnici di Palo Alto spiegano di aver individuato il codice di WireLurker in 467 applicazioni pubblicate sul Maiyadi App Store, uno store alternativo piuttosto popolare soprattutto in Cina.

WireLurker: allo stato attuale non è una vera minaccia ma ha tutto il potenziale per esserlo in futuro

Nonostante alcune testate abbiano in queste ore parlato di una minaccia che arriva dal Mac App Store di Apple, WireLurker non è presente in nessuna delle app pubblicate nel negozio online della Mela.
Non è neppure una minaccia nuovissima: è stata infatti più volte rinvenuta in numerosi canali di distribuzione di app “piratate”.

WireLurker prende di mira i sistemi Mac OS X a 64 bit: una volta insediatosi sul sistema attende l’ottenimento dei diritti di root quindi provvede ad installarsi sulla macchina come daemon ossia come servizio caricato automaticamente all’avvio e che resta in esecuzione in background.
Mantenendo un “basso profilo”, WireLurker resta in attesa della connessione di un qualunque dispositivo mobile iOS (connesso alla porta USB del sistema Mac OS X mediante il cavo di ricarica e sincronizzazione dati).
Abusando della fiducia che Mac OS X ed il dispositivo iOS rivestono a riguardo della procedura di accoppiamento tra i due device, WireLurker riesce a leggere e sottrarre (spedendole poi a terzi) le informazioni che identificano terminale ed utente (numero di telefono, numero di serie del dispositivo, ID iTunes, e così via).
Successivamente, WireLurker prova ad installare sul sistema applicazioni che all’apparenza possono sembrare legittime.

Nel caso in cui il dispositivo mobile iOS risultasse già sottoposto a jailbreaking (Differenza jailbreak, root e sblocco sui dispositivi mobili) e venisse rilevata anche la presenza di AFC2 (servizio decisamente insicuro che permette di permettere l’accesso root al file system), WireLurker provvede ad installare software malevolo che estrae informazioni personali dalla cronologia di iMessage, dalla rubrica e che si impossessa di file contenenti dati sensibili.

Allo stato attuale WireLurker non rappresenta una vera e propria minaccia per gli utenti italiani perché presuppone l’utilizzo di uno store alternativo (cinese).
Ciò che però desta preoccupazione è il potenziale di un malware come WireLurker: i suoi sviluppatori hanno infatti dimostrato come si possa infettare dispositivi mobili Apple non sottoposti a jailbreaking. WireLurker, infatti, sfrutta il meccanismo enterprise provisioning (speciali profili che consentono di disporre l’installazione di app sui dispositivi iOS) per installare applicazioni malevole sui device non sottoposti a jailbreaking.
Lo spiega bene il ricercatore Jonathan Zdziarski che ricorda come l’enterprise provisioning possa essere in futuro sfruttato da altre app malevole per insediarsi sui device mobili Apple.

Le azioni da mettere in pratica per difendersi dai futuri WireLurker

Palo Alto ha rilasciato un tool (WireLurker Detector) che, una volta eseguito sul sistema, consente di verificare l’eventuale presenza di WireLurker.
Zdziarski, da parte sua, ha poi consigliato agli utenti Apple iOS di verificare che sul proprio dispositivo non siano presenti profili enterprise provisioning nelle impostazioni di iOS (Impostazioni, Generali, Profili).
L’invito, comunque, è sempre quello di evitare il download di applicazioni da store alternativi, soprattutto quelli di dubbia identità ed ovviamente astenersi dall’installare app distribuite illecitamente.

Zdziarski chiama però in causa Apple invitando i tecnici della Mela a disattivare per default l’enterprise provisioning ed a verificare sempre la presenza della firma Apple nei pacchetti d’installazione delle app. Le applicazioni non firmate da Apple possono essere oggi installate con un semplice OK: è necessario modificare quest’approccio informando adeguatamente l’utente sui rischi ai quali può esporsi.