Wirelurker virus per sistemi Apple, come funziona e come proteggersi.

Wirelurker, appena scoperto ed è già stato definito il peggior virus mai comparso sui sistemi Mac. In questo articolo andremo a capire cos’è e come proteggersi. Il 5 Novembre 2014 i team di esperti di sicurezza informatica del team UNIT 42 ha reso pubblico l’annuncio di aver appena scoperto un virus per i sistemi Mac e che già centinaia di migliaia di sistemi erano infetti al momento dell’annuncio. L’infezione pare essere nata sulla Mayadi App Store, uno store certificato Apple in Cina. 467 applicazioni presenti sullo store erano infette con Wirelurker e secondo i log dell’app store risultavano essere state scaricate circa 360.000 volte. In totale qualche centinaio di migliaia di sistemi erano infetti. Ma cosa rende wirelurker il più pericoloso virus mai scoperto per Apple?

COS’È WIRELURKER?

La Apple ha sempre basato la sua protezione sul controllo dettagliato delle applicazioni presenti sui suoi stores. E come ben sappiamo, l’installazioe di applicazioni non ufficiali è impossibile su devices non jailbroken. Per chi non lo sapesse, uno smartphone o un tablet jailbroken è stato “manomesso” intenzionalmente dal suo possesore al fine di installare applicazioni sconosciute o modificare parametri di sistema altrimenti inaccessibili.

Su un device non manomesso l’installazione di applicazioni di terze parti, quindi dannose poichè non approvate da Apple, è impossibile…o per lo meno lo era fino ad ora.

Wirelurker è un virus di tipo trojan con le seguenti caratteristiche :

È in grado di “attaccarsi” ad un’applicazione lecita, da qui il nome di trojan horse, e secondo le statistiche risulta essere il più diffuso mai comparso.
Wirelurker è in grado di attaccare un sistema iOS o OS X semplicemente collegando i due dispositivi via USB.
È il primo sistema in grado di installare applicazioni su sistemi non jailbroken in modo totalmente trasparente ed invisibile per l’utente.
Si autoaggiorna, modificando il suo stesso codice e rendendosi invisibile quindi ad eventuali antivirus.

Il funzionamento di Wirelurker

Il funzionamento di Wirelurker

Per essere sicuro che l’applicazione di Wirelurker venga eseguita dall’utente, il virus crea una copia infetta delle applicazioni installate sul device. Ad esempio, se avete installato Whatsapp e venite infettati da Wirelurker, il virus creerà una nuova copia di Whatsapp che oltre ad eseguire l’applicazione di messaging eseguirà anche il codice infettivo.

Una volta eseguito il codice del virus, questo controllera la presenza di nuovo codice infettivo ed invisibile, farà una copia delle applicazioni presenti infettandole, attenderà il collegamento USB con altri dispositivi e nel mentre invierà i vostri dati personali e monitorerà le vostre operazioni in rete.

Ecco alcune delle applicazioni infettate ed i relativi download :

The Sim 3 42,110
International Snooker 2012 22,353
Pro Evolution Soccer 2014 20,800
Bejeweled 3 19,016
Angry Birds 14,009
Spider 3 12,745
NBA 2K13 11,113
GRID 10,820
Battlefield: Bad Company 2 8,065
Two Worlds II Game of the Year Edition 6,451

Wirelurker periodicamente accederà al suo server C2, che in alcuni casi è www.comeinbaby.com e controllerà la presenza di una nuova versioe di sè stesso, nel caso il server risponda positivamente verrà scaricata una nuova copia del codice infettivo in

/usr/local/machook/update/

ed eseguito lo script start.sh che provvederà ad aggironar e il virus col nuovo codice maligno.

Per vedere pi dettagliatamente il funzionamento tecnico del virus vi rimandiamo al sito della Paloalto Networks , sul sito troverete anche i codici SHA-1 del virus, che i più smanettoni di vi potranno usare per riconoscere un’eventuale infezione.

COME DIFENDERSI?

Semplice, non c’è modo di difendersi al momento. Il metodo più appropriato di affrontare l aminaccia di Wirelurker è di installare un antivirus ed aggiornarlo di frequente, sperando che il virus non riesca ad aggiornarsi più in fretta dell’antivirus. Altra ipotsi è quella di non collegare dispositivi portatili a computer Mac via USB (inclusi caricabatterie ed altri dispositivi USB)

La VirusTotal ha messo a disposizione un tool per analizzare il proprio device, e la stesa Paloalto Networks ha reso pubblico uno strumento per controllare se il vostro device è infettato o no. Lo trovate a questo link.

 

Aggiorneremo le nostre pagine con ulteriori informazioni riguardanti Wirelurker e sui metodi per difendersi, seguiteci qui per rimanere informati.