Alfonso Maruccia

Wirelurker, il malware trasversale della Mela

Attacca i dispositivi iOS attraverso OS X. Tutta colpa di app scaricate da uno store alternativo. Gli scopritori preoccupati che possa diffondersi il contagio, Apple blocca alcune app infette

Roma - C'è una nuova minaccia in circolazione per i dispositivi della Mela, un bug che parte da OS X ma che prende di mira i gadget basati sul sistema operativo mobile iOS. WireLurker, questa la famiglia di malware identificata dai ricercatori di Palo Alto Networks, è un progetto ancora in divenire che potrebbe avere effetti ben più gravi nel prossimo futuro.

Un'infezione da WireLurker viene veicolata a partire da Maiyadi App Store, store di applicazioni OS X di terze parti diffuso in Cina attraverso cui vengono distribuiti trojan horse mascherati da applicazioni legittime. Finora i download dei suddetti cavalli di troia superano le 350.000 unità, dicono i ricercatori. Una volta mandato in esecuzione il malware, WireLurker è in grado di compromettere gli eventuali gadget iOS collegati al Mac tramite cavo USB: il trojan sfrutta una funzionalità pensata per l'installazione di una app aziendale su più dispositivi, abusa di un certificato enterprise falso e procede infine al side-loading di una app malevola sul gadget iOS.

WireLurker è in grado di compromettere sia dispositivi iOS bloccati che quelli passati attraverso una procedura di jailbreaking, spiegano da Palo Alto Networks, anche se al momento i problemi principali si presentano sui gadget sbloccati dove vengono compromesse due app sensibili come TaoBao (e-commerce) e AliPay destinate al mercato cinese.
WireLurker è una minaccia ancora in fase di sviluppo con un obiettivo non ancora pienamente dichiarato, spiegano ancora i ricercatori, mentre Apple dice di aver bloccato il download delle applicazioni OS X malevole da cui ha avuto origine l'infezione. La corporation consiglia poi agli utenti di non scaricare software da fonti non ufficiali.

Alfonso Maruccia
Notizie collegate
  • SicurezzaAncora un buco in iOS?Con un apposita app si possono carpire informazioni da un iPhone o un iPad, senza che l'utente si accorga di nulla. Ma il problema sicurezza non riguarda solo Apple. Che pure è al momento nell'occhio del ciclone
25 Commenti alla Notizia Wirelurker, il malware trasversale della Mela
Ordina
  • Non notate tutti l'assenza di quella vocina fastidiosa e saccente che interviene sempre su qualsiasi altra vulnerabilità (anche quando è sfruttabile solo se vi è una congiunzione astrale che avviene ogni 20000 anni) ma che oggi è stranamente silenziosa?
    non+autenticato
  • hahahahaha verissimo, è stato praticamente stroncato dalle pessime notizie dal melafronte Rotola dal ridere

    sta aspettando gli ordini di Cupertino, dopo di che verrà qui a negare l'evidenza e cercare di banalizzare le 5-6 vulnerabilità e backdoor scovate in questi giorni

    e aspettati nuovi sermoni appena uscirà qualche nuovo trojan per android

    consiglio a tutti di aggiungere questi articoli nei bookmarks, così potremo schiaffarglieli in faccia ogni volta che oserà postare
    non+autenticato
  • Prevedo già la risposta...

    "ero a guadagnare gli n-mila Euro"A bocca aperta

    oppure minimizzerà perchè made in cupertino e quindi una giustificazione si trova sempreOcchiolino

    Stavo leggendo su un altro sito che negli ultimi tempi anche i sistemi morsicati incominciano ad attrarre hacker e malwareA bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > Prevedo già la risposta...
    >
    > "ero a guadagnare gli n-mila Euro"A bocca aperta
    >
    Non è previsione, è certezza.

    > oppure minimizzerà perchè made in cupertino e
    > quindi una giustificazione si trova sempre
    >Occhiolino

    Certificato enterprise falso, questo mistero.
    >
    > Stavo leggendo su un altro sito che negli ultimi
    > tempi anche i sistemi morsicati incominciano ad
    > attrarre hacker e malware
    >A bocca aperta

    Per forza.
    Ma immagino che tu ti stia chiedendo il motivo eh?

    VERO?
    maxsix
    9658
  • - Scritto da: maxsix
    > - Scritto da: Etype
    > > Prevedo già la risposta...
    > >
    > > "ero a guadagnare gli n-mila Euro"A bocca aperta
    > >
    > Non è previsione, è certezza.
    >
    > > oppure minimizzerà perchè made in cupertino e
    > > quindi una giustificazione si trova sempre
    > >Occhiolino
    >
    > Certificato enterprise falso, questo mistero.
    Dilettanti, sono cose già straviste da queste parti Fan Windows
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: maxsix
    > > - Scritto da: Etype
    > > > Prevedo già la risposta...
    > > >
    > > > "ero a guadagnare gli n-mila Euro"A bocca aperta
    > > >
    > > Non è previsione, è certezza.
    > >
    > > > oppure minimizzerà perchè made in
    > cupertino
    > e
    > > > quindi una giustificazione si trova
    > sempre
    > > >Occhiolino
    > >
    > > Certificato enterprise falso, questo mistero.
    > Dilettanti, sono cose già straviste da queste
    > parti
    > Fan Windows

    Non ricordo certificati Enterprise li.
    Ricordo licenze Enterprise.

    Una bella differenza.
    maxsix
    9658
  • Sta consultando il genius training student workbook.
    non+autenticato
  • - Scritto da: davidoff
    > Non notate tutti l'assenza di quella vocina
    > fastidiosa e saccente che interviene sempre su
    > qualsiasi altra vulnerabilità (anche quando è
    > sfruttabile solo se vi è una congiunzione astrale
    > che avviene ogni 20000 anni) ma che oggi è
    > stranamente
    > silenziosa?

    Lo so che parli con me.
    Ma a Collione qui sotto ho già risposto in un altro 3d (anche se fa finta di non sapere).

    Detto questo non mi pongo minimamente il problema visto che il veicolo d'infezione è uno store di terze parti che la gente usa a suo pericolo.

    L'unica cosa che effettivamente va sistemata è la questione del trust dei certificati enterprise, che sono da un lato troppo "aperti" dal lato sia di emissione (se vuoi un certificato enterprise mi devi dimostrare un po' meglio chi sei e cosa ne fai) che dal lato di hacking, cosa sollevata ultimamente anche dal loro partner IBM e dai suoi clienti.

    Non mi è molto chiaro il meccanismo del certificato "falso" e della sua registrazione su itunes prima e sulla periferica poi in quanto da come la so io il certificato enterprise monopolizza completamente la periferica e non è possibile far coesistere il certificato enterprise e l'uso privato con account su apple store.

    Update: anzi, ne sono sicuro.
    https://vpp.itunes.apple.com/it/faq
    Punto 7.
    Quindi è accettando il certificato enterprise "falso" la periferica cambia di forza il suo ID e di fatto viene ripristinata nei modi e nei termini concessi dal certificato "falso" in se.
    Ergo, se ho acquistato con il mio ID privato qualche app, questa viene piallata dal telefono al primo syncro. E non voglio nemmeno pensare che peto enorme viene emesso al primo collegamento con app store per qualunque motivo, visto che l'ID in se è falso.

    Comunque, aho, bisogna rompere veramente il capello in 4 per farlo funzionare.

    Se funziona.
    -----------------------------------------------------------
    Modificato dall' autore il 10 novembre 2014 12.19
    -----------------------------------------------------------
    maxsix
    9658
  • Ti becchi malware scaricando roba da posti poco sicuri, esattamente come su un Android qualunque...












































    hahahahahahahahahaha
  • no caro, su android mi avanzano minimo 300€ sull'acquisto del telefono, quindi NON come su android Rotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: gnammolo
    > no caro, su android mi avanzano minimo 300€
    > sull'acquisto del telefono, quindi NON come su
    > android
    > Rotola dal ridereRotola dal ridere

    E direi che avanzano anche 0.99 di acquisto dell'app.
  • ->Scritto da: Elrond
    >Ti becchi malware scaricando roba da posti poco sicuri,
    >esattamente come su un Android qualunque...

    Almeno su un Android qualunque c' è un minimo di applicativo di base di sicurezza(che funziona), senza contare le impostazioni di sicurezza standard che almeno bloccano gli utonti nello scaricare app da store non ufficiali, a differenza di iOS che mi risulta il non fare alcunché.

    >hahahahahahahahahaha

    AhahahahahahahahahahahA bocca aperta.
    -----------------------------------------------------------
    Modificato dall' autore il 07 novembre 2014 14.46
    -----------------------------------------------------------
  • Si ma non dirlo al solito applefan altrimenti si inizia con il solito 2 pesi e 2 misureA bocca aperta
    non+autenticato
  • - Scritto da: Elrond
    > Ti becchi malware scaricando roba da posti poco
    > sicuri, esattamente come su un Android
    > qualunque...
    >

    Esattamente: un dispositivo iOS con tanto di OS X non si comporta assolutamente meglio di un Android qualsiasi... e costa il doppio...
  • era solo frutto del fatto che i virus/malware writer non la prendevano in considerazione. Questo è diventato poi causa della sua profonda inesperienza (vantata a gran voce da ruppolo Perplesso ).
    Di fatto i loro sistemi sono di fatto dei colabrodo.
    non+autenticato
  • - Scritto da: prova123
    > era solo frutto del fatto che i virus/malware
    > writer non la prendevano in considerazione.

    E' esattamente come dici. La diffusione di virus/malware è proporzionale alla percentuale di diffusione del sistema.
  • - Scritto da: bradipao
    > - Scritto da: prova123
    > > era solo frutto del fatto che i virus/malware
    > > writer non la prendevano in considerazione.
    >
    > E' esattamente come dici. La diffusione di
    > virus/malware è proporzionale alla percentuale di
    > diffusione del
    > sistema.
    Sarà per quello che per linu$ ne hanno tre?A bocca aperta
    non+autenticato
  • Sicuramente aiuta a non essere al 90% di diffusione,chi scrive malware lo fa infatti per la fetta più grossa...però non è il solo motivoOcchiolino
    non+autenticato
  • il problema di molti è che non hanno mai studiato seriamente biologia al liceo, perchè altrimenti saprebbero cosa s'intende per varietà e perchè è così importante

    ed è la stessa ragione per cui per android esistono praticamente solo trojan

    un virus/worm/rootkit o altro tipo di software che ha bisogno d'interagire col kernel bypassando la libc, necessità di uniformità, ovvero di un kernel/strato software che sia stabile

    linux è un coacervo di versioni, binari ricompilati con vari patchset, funzionalità aggiunte/tolte, api che cambiano da una versione all'altra, a volte incompatibilità a livello di abi tra una versione e l'altra

    i malware writer dovrebbero andare in giro, fare una statistica dei vari kernel in uso, capire come sono fatti e realizzare N malware, uno per ogni kernel "particolare"

    morale della favola, fai prima ad attaccare l'utente ed indurlo ad installare un trojan
    non+autenticato
  • - Scritto da: prova123
    > era solo frutto del fatto che i virus/malware
    > writer non la prendevano in considerazione.
    > Questo è diventato poi causa della sua profonda
    > inesperienza (vantata a gran voce da ruppolo Perplesso
    > ).
    > Di fatto i loro sistemi sono di fatto dei
    > colabrodo.

    I sistemi colabrodo sono Windows e Android, per i quali sono stati sviluppati MILIONI di malware.
    Quanto al caso in questione, sono più che felice che i pirati vengano silurati.
    ruppolo
    33147
  • - Scritto da: ruppolo

    > Quanto al caso in questione, sono più che felice
    > che i pirati vengano
    > silurati.


    I pirati usano il jailbreak, mentre questo malware non necessita di jailbreak.
    " it just works, it's magic "
  • - Scritto da: Pasta alla Pirateria
    > - Scritto da: ruppolo
    >
    > > Quanto al caso in questione, sono più che
    > felice
    > > che i pirati vengano
    > > silurati.
    >
    >
    > I pirati usano il jailbreak, mentre questo
    > malware non necessita di
    > jailbreak.
    > " it just works, it's magic "

    Da come è messa sembra così.
    Ma necessita di un certificato enterprise, e anche falso.

    Nonché la sua autenticazione si a livello di mac os x che di iOS.

    Insomma non è proprio una cosetta dai vari cantinari che circolano qui dentro.

    Si non quel famigerato javascript che gira OMG sul BROWSER di Android, che tante soddisfazioni sta dando.

    Che sia chiaro.
    -----------------------------------------------------------
    Modificato dall' autore il 10 novembre 2014 12.08
    -----------------------------------------------------------
    maxsix
    9658
  • Dov'è finita la presunta sicurezza di apple ? quella che con 1000 lock-in faceva sentire tanto al sicuro gli applianiA bocca aperta

    Eh le iIllussioni morsicateA bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > Dov'è finita la presunta sicurezza di apple ?
    > quella che con 1000 lock-in faceva sentire tanto
    > al sicuro gli appliani A bocca aperta

    Ci fosse stato Jobs, avrebbe detto che questo malware è stato scritto col VirusKit, libreria certificata Apple per sviluppare malware di qualità approvati da Apple.
  • di questo progetto e' non tanto il codice del malware in se (pur sofisticato ecc), ma l'(ab)uso sempre piu' sistematico dell' Enterprise Provisioning Distribution... nonostante la militarizzazione di Apple, delle cose in-house ai coder e alle aziende, senza farli completamente impazzire, deve pur lasciarle fare... e allora..
    non+autenticato