Expuesta la vulnerabilidad de iOS tras revelarse el malware WireLurker de Apple

Los investigadores descubrieron y divulgaron ayer la vulnerabilidad explotada por el malware WireLurker

Los investigadores descubrieron y divulgaron ayer la vulnerabilidad explotada por el malware WireLurker, que tiene como objetivo los dispositivos móviles iOS, a los que infecta a través de conexiones USB tanto a equipos Mac OS X como Windows. 

La vulnerabilidad se llama “Masque” (Máscara) y afecta a las versiones iOS 7.1.1, 7.1.2, 8.0, 8.1, y 8.1.1 beta. Quizás lo más interesante es que los primeros informes sugerían que el malware solo infectaría a usuarios de iOS a través de conexiones USB. Ayer, sin embargo, los investigadores de FireEye dijeron que el bugMasque también podía difundirse a través de mensajes de texto y emails. Aunque, para que pueda infectar a través de mensajes de texto o emails, el atacante tendría que obligar a la víctima a abrir el enlace que lo llevaría hasta la aplicación maliciosa.

 Técnicamente, Masque permite a los atacantes reemplazar aplicaciones de iOS legítimas por otras maliciosas, sin notificarlo. El fallo está relacionado, en parte, con un certificado de la empresa y la ausencia de la doble revisión de la identidad de la aplicación, que se produce cuando no se descarga la aplicación de la App Store.

En este caso, por tanto, iOS no había marcado los certificados de WireLurker, que estaban firmados legítimamente, aunque usara uno diferente. El malware simplemente cargaba la aplicación directamente en el móvil del usuario, desde un portátil o un escritorio infectado. Por eso, en comparación con los antiguos malware de iOS, WireLurker ha sido capaz de infectar dispositivos sin jailbreak.

 FireEye ha dicho que WireLurker es el único ataque de fuerza bruta dirigido a la vulnerabilidad de Masque, pero parece ser que ha estado circulando entre criminales. El bug de Masque sigue sin parche. El equipo de Apple ha actuado con rapidez para revocar los certificados utilizados por el malware malicioso.

La necesidad de una protección anti-malware en dispositivos Mac OS X no es en vano. 

Poco después de que la empresa Palo Alto Networks publicara el descubrimiento de WireLurker la semana pasada, el grupo responsable del malware canceló su operación. Sin embargo, cuando aún estaba en funcionamiento, su intención era infectar equipos de Windows y Mac, donde se mantenía latente hasta que el usuario infectado conectara su iPhone o iPod al ordenador.

Cuando esto ocurría, el malware buscaba en el dispositivo iOS conectado la presencia de algunas aplicaciones populares. Así, Wirelurker desinstalaría esas aplicaciones y las reemplazaría por copias falsas troyanas. No está claro qué tipo de datos buscaba este malware.

 Los únicos usuarios que se han  visto afectados por WireLurker han sido aquellos que descargaron la aplicación de fotos, Meitu, la aplicación de subastas Taobao o la aplicación de pago Alipay a través de un mercado de aplicaciones chino llamado Maiyadu.

Los investigadores de Palo Alto comunicaron la existencia de 467 aplicaciones OS X infectadas en Maiyady que han sido descargadas más de 350.000 veces hasta el 16 de octubre, por más de 100,000 usuarios. En su informe, el investigador global de Kaspersy y Analista del equipo de Securelist, ha dicho que “la necesidad de una protección anti-malware en dispositivos Mac OS X hay que tenerla en cuenta”. “No solo porque tu Mac OS X pueda ser infectado, sino también porque WireLurker nos ha demostrado cómo la infección puede pasar de tu Mac a tu iPhone. La buena noticia es que hay muchas opciones donde elegir, entre ellas nuestro propio Kaspersky Internet Security para Mac”.

Consejos