WireLurker provoca el caos entre los usuarios de OS X y iOS en China. Todo lo que debes saber sobre este malware.

El día de hoy quiero hablarle del tema que está en boca de todo el mundo, WireLurker, un nuevo malware, excesivamente bien hecho y que ataca específicamente a los usuarios de dispositivos iOS y OS X.

Vamos a estar claros desde el principio, WireLurker no es un malware más, hecho por un realengo cualquiera. Basta con echarle un vistazo al código, y al funcionamiento del malware para concluir que se trata de un trabajo muy bien hecho y con una finalidad muy clara.

Lo más llamativo de WireLurker es su sorprendente virulencia, posiblemente ya ha infectado a cientos de miles de usuarios de iOS y OS X.

Aunque en OS X los malwares no son muy comunes, ocurren de vez en cuando, pero es casi inaudito ver que los dispositivos iOS sean susceptibles a este tipo de ataques, e incluso si el dispositivo no tiene el jailbreak, WireLurker puede infectarlo.

Hasta el momento, parece que el malware realmente no hace mucho, pero de acuerdo a los investigadores de seguridad, una vez que el dispositivo es infectado, WireLurker solicita constantemente actualizaciones desde un servidor de comando y control. Como mínimo, WireLurker probablemente está siendo utilizado para acceder a los contactos de tu agenda, y extraer los detalles sensibles/contraseñas.

WireLurker fue descubierto y detallado por el ala de prevención de amenazas de Palo Alto Networks. Como dije antes, el vector de ataque del malware es complejo, y en palabras de Palo Alto Networks, "su capacidad de infectar a los dispositivos iOS que no tienen jailbreak a través de aplicaciones de OS X troyanizadas y re-envasadas, marca una nueva era del malware en los dispositivos iOS y OS X".

En resumen, la infección inicial de WireLurker proviene de una tienda de aplicaciones de terceros para Mac OS X (en este caso, la tienda de aplicaciones es Maiyadi).

Una vez que descargues e instales una aplicación infectada en tu Mac con OS X, entonces comenzará la diversión. Y si a continuación, conectas un dispositivo iOS en la Mac infectada, WireLurker se instalará también en el dispositivo iOS.

Para ello usará el sistema de aprovisionamiento para empresas de iOS, un método usualmente reservado para que las empresas realicen carga lateral de aplicaciones directamente en los dispositivos iOS corporativos. Y esa es la razón por la que WireLurker puede infectar incluso los dispositivos iOS que no tienen el jailbreak.

Una vez WireLurker está en tu iPhone o iPad, empieza a hacer algunas cosas maravillosas y extrañas. Si el dispositivo no tiene jailbreak, WireLurker simplemente instalará (mediante sideloading) más aplicaciones de la App Store. Si el dispositivo tiene jailbreak, entonces hará mucho más, incluyendo infectar/troyanizar las aplicaciones existentes en tu dispositivo iOS y hará un respaldo de las mismas en tu Mac.

En ambos casos, WireLurker hará pings constantemente a un servidor de comando central, que puede desencadenar una actualización de carga útil, o instruir a WireLurker para cosechar y transmitir datos sensibles desde tu dispositivo.

Para más detalles sobre WireLurker, puedes leer el documento (PDF) de la investigación publicado por Palo Alto Networks haciendo clic aquí.

¡Calma, no te alarmes!

Como seguro ya sabrás, los sistemas operativos de Apple, especialmente iOS, tienden a ser bastante seguros. De hecho, los malwares para iOS son prácticamente desconocidos, y el número de exploits de alto perfil para OS X se pueden contar con una mano. La buena noticia, es que WireLurker no parece explotar una nueva vulnerabilidad de día cero. De hecho, para infectarte, es necesario que sigas al pie de la letra una serie bastante larga de eventos desafortunados.

Para empezar, es necesario instalar una aplicación para Mac OS X infectada. No estoy diciendo que la tienda Mac App Store sea 100% libre de malware, pero sospecho que el proceso de selección/aprobación aplicado por Apple es mucho más exigente que el de una tienda de aplicaciones de terceros. Al instalar una aplicación en OS X proveniente de un tercero, tienes que hacer clic a través de unos cuadros de diálogo que te preguntan si estás realmente seguro de desear ejecutarla.

Del mismo modo, cuando WireLurker quiere infectar tu dispositivo iOS, tendrás que superar los mismos cuadros de diálogos de confirmación.

En resumen, hay un buen número de señales de advertencia de que algo está en marcha. Pero a pesar de eso, Palo Alto Networks dice que 467 aplicaciones infectadas se han descargado más de 350,000 veces desde la tienda de aplicaciones Maiyadi. La empresa no cuenta con una cifra exacta de cuántas personas infectaron sus dispositivos iOS, pero se supone que es un porcentaje significativo.

Dicho de manera clara y precisa. WireLurker no entrará en tu Mac o en tu iPhone a menos que tu lo invites a entrar. Y eso sólo pasará si eres muy temerario, o muy despistado.

Si perteneces al segundo grupo, no importa si Apple te proporciona un montón de advertencias de seguridad y de pop-ups de confirmación, ya que sólo seguirás presionando el botón de "Siguiente" sin leer o pensar en lo que estás haciendo.

La parte interesante

Como dije al principio de este texto, WireLurker no es el trabajo de aficionados, ni de un único usuario experto (la lógica me dice lo contrario). Y a juzgar por lo que se ve, este malware apenas ha dado su primer paso.

Está claro que el conjunto de herramientas está aún en fase activa de desarrollo y creemos WireLurker aún no ha revelado su funcionalidad completa.

Por ahora, WireLurker no hace mucho, pero como señala Palo Alto Networks, "a medida que los dispositivos infectados soliciten regularmente actualizaciones, nuevas funciones o aplicaciones se podrían instalar en cualquier momento".

Personalmente, creo que WireLurker es una obra de arte. Una interesante pieza de software puesta en marcha por alguien con intereses más allá a los que se ven a simple vista. Pero no quiero parecer paranoico, ni alimentar las teorías conspiracionistas con especulaciones.

De modo que me limitaré a exhortarles no instalar aplicaciones que no provengan de las tiendas de aplicaciones oficiales de Apple. Y si yo fuera tú, instalaría un escáner de malware en el Mac.

Por cierto, casi la totalidad de los dispositivos infectados están en China o pertenecen a usuarios chinos. ¿No creen que esto nos da una pista sobre quién está detrás de WireLurker?

• CONOCE AL AUTOR

About Domadis Cabrera

Geek por naturaleza. Technorati por pasión. Emprendedor y amante del buen diseño. Disfruto probando cualquier cosa relacionada con la tecnología, da igual si es software o hardware. Viajero frecuente y amante de la adrenalina. Me divierte solucionar problemas y puedes seguirme en tu red social favorita, sólo tienes que buscarme por mi nombre.