WireLurker, el troyano de iOS: Estadísticas y nueva información

Hace poco surgieron noticias sobre un novedoso ataque en el que los cibercriminales infectaban a los usuarios de iPhone y Mac OSX con un programa peculiar que recibió el nombre de WireLurker. Puedes encontrar información detallada al respecto en este informe de Palo Alto. Antes que nada debo que recalcar que todos los usuarios de Kaspersky Lab están protegidos de esta amenaza. Detectamos los archivos maliciosos de WireLurker con los siguientes nombres:

  • Mac OS X:
    • Trojan-Downloader.OSX.WireLurker.a
    • Trojan-Downloader.OSX.WireLurker.b
    • Trojan.OSX.WireLurker.a
  • Apple iOS:
    • Trojan-Spy.IphoneOS.WireLurker.a
    • Trojan-Spy.IphoneOS.WireLurker.b
  • Windows:
    • Trojan.Win32.Wirelurker.a

Nuestros sensores detectaron conexiones con un servidor C&C malicioso ubicado en Hong Kong en julio de 2014. Esto continuó durante los meses siguientes, aunque el volumen de la amenaza se mantuvo bajo.

Los foros de Internet comenzaron a mencionar este tema a principios de año, la mayoría de las veces en sitios en chino y coreano, pero también en algunos de habla inglesa:

El 14 de julio, alguien llamado SirBlanton se quejó de esta amenaza en un sistema de tablón de anuncios (BBS) en chino:

Перевод на английский:

Traducción: Al menos tres aplicaciones para iPhone: Alfred 2.3/ Pixelmator 3.2/Folx GO+ 3.0 tienen un malware o troyano, pide que escriba mi contraseña de administrador durante la instalación y después instala objetos de inicio de forma automática y se mantiene conectado en segundo plano a www.comeinbaby.com

Esta discusión ocurrió en “bbs.maiyadi.com”, lo que resulta llamativo porque el programa malicioso utiliza otro subdominio en “maiyadi.com” como centro de Comando y Control (C&C).

Antes de eso, el 29 de mayo, una discusión en Corea mencionó un comportamiento inusual en un sistema Mac OS X infectado por esta amenaza:

Resulta interesante que Mac OS X y Apple iOS no sean las únicas plataformas en las que se propagan estos ataques. Ayer, nuestro amigo Jaime Blasco de Alienvault descubrió una herramienta maliciosa Win32 que podría estar relacionada con esta amenaza.

El módulo WireLurker para Windows

Nombre de archivo: 万能视频播放器 2.21.exe md5: fb4756b924c5943cdb73f5aec0cb7b14

Módulo WireLurker Win32

Módulo WireLurker Win32

Si la fecha estampada no está alterada, el archivo se compiló en marzo de 2014:

Conjunto de metadatos completo:

El nombre de archivo interno es “绿色IPA安装器” que, traducido, significa Instalador IPA Verde. Se supone que es una aplicación para instalar archivos IPA en dispositivos iOS.

Contiene una ruta de depuración que revela información sobre la compilación:

E:lifeilibimobiledevice-win32-master_lastReleaseappinstaller.pdb

La aplicación contiene dos IPA (archivos comprimidos de aplicaciones Apple) en su interior, una llamada “AVPlayer” y otra “apps”.

AVPlayer.app parece una aplicación iOS legitimada que los atacantes utilizan como carnada.

La imagen (icono) de la aplicación puede verse abajo:

Parece que la aplicación “legítima” pertenece a un desarrollador popular conocido como “teiron@25pp.com”.

El segundo IPA es todavía más interesante.

Es posible que se haya creado en marzo 2014. “apps” se comunica con el infame “comeinbaby[.]com”:

La parte sfbase.dylib se comunica con un C&C diferente:

En resumen, la aplicación Win32 que describo aquí permite que se instalen las cargas explosivas de iOS que hemos mencionado en el iPhone de la víctima. Es posible que el creador la haya desarrollado sólo para asegurarse de que los usuarios de Windows también puedan infectar sus dispositivos iOS.

Detecciones de KSN

Kaspersky Security Network (KSN) es una compleja infraestructura expandida que se dedica a procesar flujos de datos relacionados con la seguridad de millones de participantes voluntarios de todo el mundo. Distribuye los conocimientos de seguridad de Kaspersky Lab a cada partner o cliente conectado a Internet para asegurando que reciban las reacciones más veloces, la menor cantidad de falsos positivos para mantener el más alto nivel de protección. Aquí puedes conseguir una descripción detallada de KSN. El diagrama de abajo muestra las detecciones de WireLurker en OSX:

Más del 60% de las detecciones provienen de China, como era de esperar.

Conclusiones

Este incidente nos recuerda por qué los programas piratas son peligrosos en cualquier plataforma. Descargar aplicaciones de fuentes extraoficiales como mercados alternativos, sitios web para compartir archivos, torrents u otras redes p2p aumenta el riesgo de contraer infecciones de malware. Es más, éste es uno de los principales vectores de infección en Mac OS X.

No podemos dejar de recalcar la necesidad de proteger los dispositivos Mac OS X con un programa de seguridad. De lo contrario, no sólo pones tu equipo Mac OS X en riesgo de infección sino que, como demostró WireLurker, la amenaza puede trasladarse de tu Mac a tu iPhone. Pero hay buenas noticias: existen muchas opciones para los usuarios, entre ellas nuestro propio producto, Kaspersky Internet Security para Mac.

En primer lugar, los usuarios de Mac OS X deben revisar sus parámetros de Seguridad y Privacidad para asegurarse de que la configuración de su sistema sea óptima. Recomendamos que configuren Gatekeeper para que sólo se puedan descargar aplicaciones de desarrolladores identificados desde la Mac App Store. Aquí puedes encontrar más información sobre Gatekeeper.

No te olvides de revisar nuestra guía de seguridad para Mac: 10 pasos simples para aumentar la seguridad de tu Mac.

Este debería ser una llamada de atención para que los usuarios de Apple replanteen la forma en la que perciben la seguridad de sus dispositivos. Así como el malware de Mac OS X no tardó en pasar de ser sólo un mito a una triste realidad, estamos viendo cómo iOS está recibiendo cada vez más y más ataques sin que nadie pueda ofrecerle protección. Los vendedores antivirus todavía no tienen permitido desarrollar protección para usuarios de iPhone.

Pero, en vista de los acontecimientos recientes, ¿cambiará esta estrategia en el futuro?

Indicadores de infección:

C&Cs:
app.maiyadi[.]com
comeinbaby[.]com
61.147.80.73
124.248.245.78

MD5s:
3fa4e5fec53dfc9fc88ced651aa858c6
5b43df4fac4cac52412126a6c604853c
88025c70d8d9cd14c00a66d3f3e07a84
9037cf29ed485dae11e22955724a00e7
a3ce6c8166eec5ae8ea059a7d49b5669
aa6fe189baa355a65e6aafac1e765f41
bc3aa0142fb15ea65de7833d65a70e36
c4264b9607a68de8b9bbbe30436f5f28
c6d95a37ba39c0fa6688d12b4260ee7d
c9841e34da270d94b35ae3f724160d5e
dca13b4ff64bcd6876c13bbb4a22f450
e03402006332a6e17c36e569178d2097
fb4756b924c5943cdb73f5aec0cb7b14

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *