Dietro il malware WireLurker si nasconde una vulnerabilità iOS

Alcuni ricercatori hanno scoperto un grave vulnerabilità iOS responsabile del malware WireLurker.

Apple

Ieri alcuni ricercatori hanno scoperto una vulnerabilità, per poi informare Apple, sfruttata dal malware WireLurker che colpisce i dispositivi mobili iOS quando vengono collegati via USB a computer Windows e Mac OS X.

La vulnerabilità, che si chiama “Masque“, riguarda iOS 7.1.1, 7.1.2, 8.0, 8.1 e 8.1.1 beta. Il dettaglio più interessante è forse il seguente: mentre all’inizio si pensava che il malware potesse infettare solo i dispositivi iOS via USB, proprio ieri i ricercatori di FireEye hanno scoperto che il bug Masque può essere sfruttato anche via SMS ed e-mail. Tuttavia, per usare queste metodologie, i cybercriminali dovrebbero fare in modo che la vittima clicchi su un link che porta a delle app dannose.

Tecnicamente, Masque concede ai cybercriminali l’opportunità di sostituire app iOS legittime con altre app dannose senza che l’utente se ne accorga. Almeno in parte, questa situazione deriva da un problema su iOS per via del quale non vengono verificati i certificati digitali di certe applicazioni  quando gli sviluppatori non le caricano sull’App Store. Nello specifico, iOS non controlla i certificati di WireLurker, che sono a posto (anche se utilizza una certificato diverso), poiché il malware carica l’applicazione infetta direttamente da un computer fisso o portatile sul telefono dell’utente. Per questo, a differenza di altri malware iOS, WireLurker ha la capacità di infettare dispositivi non interessati dal jailbraking.

FireEyes ha affermato che WireLurker non è l’unico malware a sfruttare la vulnerabilità Masque e che questa possibilità è conosciuta da vari cybercriminali. Tutt’ora la vulnerabilità Masque non è stata ancora risolta. Da quanto si sa, Apple si è mossa rapidamente per revocare i certificati utilizzati dal malware dannoso.

Non si può sottovalutare l’importanza di una protezione anti-malware specifica per Mac OS X.

La settimana scorsa, subito dopo la diffusione della notizia da parte dell’azienda di sicurezza informatica Palo Alto Networks, il gruppo che ha creato il malware WireLurker ha chiuso i battenti. In ogni caso, quando il gruppo era ancora operativo, mirava a infettare computer Mac e Windows , dove il malware rimaneva dormiente fino a quando l’utente collegava il proprio iPhone o iPod al computer. A quel punto il malware ricercava applicazioni poco popolari all’interno del dispositivo iOS collegato. Se presenti, WireLurker disinstallava queste applicazioni e le sostituiva con repliche false e infette. Non si sa a quali dati il malware puntasse esattamente.

Gli unici utenti colpiti da WireLurker sono coloro che hanno scaricato da un market cinese non ufficiale chiamato Maiyadu l’app per foto Meitu, l’app di aste online Taobao o l’app per effettuare pagamenti AliPay.

A quanto dicono i ricercatori di Palo Alto, su Maiyadu sono state trovate 467 applicazioni OS X infette; tali applicazioni sono state scaricate più di 350 mila volte fino al 16 ottobre da oltre 100 mila utenti.

“Non si può sottovalutare l’importanza di una protezione anti-malware specifica per Mac OS X”, ha spiegato il Global Research and Analysis Team di Kaspersky Lab in un report su Securelist. “Non solo perché vengono infettati i computer Mac OS X, ma perché WireLurker ci ha dimostrato quanto sia facile infettare un iPhone utilizzando un computer. La buona notizia è che ci sono tante opzioni di sicurezza tra cui scegliere, una di queste è sicuramente Kaspersky Internet Security for Mac“.

Consigli