Se avete Jailbreakkato il vostro iPhone e non badate alle repo o i pacchetti che avete installato, allora dovrete fare sicuramente un controllo all’interno dei vostri file di sistema perché potreste aver beccato un nuovo malware. WireLurker è un Malware che attacca sia iOS che Android e si nasconde dietro gli Store di terze parti.
Il Malware che affligge non solo dispositivi iOS ma anche OS X si fa strada attraverso gli App Store di terze parti e non solo. Alcuni smanettoni, hanno riscontrato che alcune App per Mac OS X sono state portatrici sane del Malware in questione, in un campione che va dal 30 Aprile all’11 Giugno, le 10 Applicazioni più scaricate e più afflitte sono state:
Ancora però non è chiaro come il Trojan funzioni, può essere riassunto in questo diagramma di flusso di facile comprensione:
Sostanzialmente WireLurker è stato usato attraverso le Applicazioni per Mac che erano state caricate su Maiyadi AppStore. Le vittime, scaricate queste applicazioni, installate sui loro terminali OS X e avviate hanno iniziato il processo di WireLurker che ha iniettato il suo virus in modo del tutto trasparente, lasciando file malevoli, dynamic libraries e configurazioni di file che avviavano la copia originale del gioco o programma in questione. Facendo un piccolo sunto e arrivando alla questione di iOS il Malware attraverso alcuni file malevoli che ha installato riesce ad arrivare agli ingressi USB del nostro dispositivi OS X attaccando di conseguenza i nostri dispositivi iOS connessi. Grazie al Tweak AFC2 riesce ad accedere a qualsiasi informazione sul nostro dispositivo e ad inviare una serie di informazioni al server C2 .
Per quanto riguarda i dispositivi non Jailbroken, neanche quelli ahimè sono immuni, WireLurker installa semplici applicazioni iOS passando da alcuni protocolli di iTunes per poi installare alcuni file malevoli.
Tornando invece ai dispositivi iOS Jailbroken WireLurker carica un Tweak malevolo all’interno del MobileSubstrate tramite AFC2 come dicevamo prima. A quel punto l’icona dell’applicazione diventa visibile all’utente, sia jailbroken che non. Per i dispositivi Jailbroken, il codice verrà iniettato all’interno delle Applicazioni di Sistema, inviando tutti i contatti, rubrica telefonica, Apple ID al server C2.
WireLurker si è evoluto, passando da versione A a versione B a versione C :
Il cambiamento fondamentale da una versione all’altra è stato che adesso lo Spyware si nasconde dietro due App Store di terze parti PP e lszr2 e non più dietro ad Applicazioni singole. Consigliamo vivamente a tutti gli utenti di aggiungere Repository fidate e di non scaricare AppStore di terze parti in quanto è illegale scaricare Applicazioni craccate.
Nell’ultimo anno inoltre, abbiamo subito altri attacchi, quali:
- AdThief: ha infettato e rimpiazzato gli ID delle pubblicità per un totale di 75 mila dispositivi infettati
- Unfold: ha dirottato tutto il traffico degli ID Apple di iTunes
- AppBuyer: ha rubato gli Apple ID e ha acquistato App tramite un emulazione di alcuni protocolli di iTunes
Ma di malware ce ne sono molti altri. Come possiamo vedere se siamo affetti da WireLurker ?
Vi consigliamo una rapida sbirciata tra le impostazioni, andando in: Impostazioni –> Generali –> Profilo e vedere se ne avete installati e se c’è qualcosa di anomalo rimuoverlo se possibile. Per i dispositivi Jailbroken le cose si complicano, dovrete accedere tramite iFile o qualsiasi programma per accedere alla Root e recarvi nel seguente percorso: “/Library/MobileSubstrate/DynamicLibraries/sfbase.dylib” se la libreria sfbase.dylib esiste ELIMINATELA e a questo punto dovrete cambiare le password del vostro ID Apple e molti dei vostri dati sensibili potrebbero essere stati lesi.
Rimaniamo a vostra disposizione per maggiori informazioni o delucidazioni.
Potete seguirci tramite Twitter, Facebook, Google Plus oppure tramite Feed e potete scaricare la nostra App BeMobile per essere sempre aggiornati sulle ultime news che riguardano l’iPhone, iPad, Mac, Cydia e Jailbreak. Per Supporto o Assistenza, visitate il nostro Forum.
L'articolo WireLurker: Nuovo Malware che attacca iOS e OS X può essere letto su Beiphone.