Dois dias atrás, no dia 5 de novembro deste ano, Os pesquisadores da Palo Alto Network publicaram um anúncio de que encontraram um novo malware infectando aplicativos de software iOS e Mac OS X. O malware parece estar se espalhando de uma loja de aplicativos chinesa.
WireLurker se espalhando da loja de aplicativos chinesa Maiyadi
O malware é chamado WireLurker e o que parece fazer é coletar dados confidenciais, como registros de chamadas e informações de contatos telefônicos dos dispositivos Apple iOS dos usuários afetados. Sabe-se que está espalhado por uma loja de software chinesa de terceiros chamada Maiyadi, que tem cerca de 467 Mac OS X e 180 Aplicativos executáveis do Windows disponíveis. Entre eles estão “The Sims 3”, “Pro Evolution Soccer 2014” e “International Snooker 2012”.
“WireLurker foi usado para trojanizar 467 Aplicativos OS X na Maiyadi App Store, uma loja de aplicativos Mac de terceiros na China. Nos últimos seis meses, estes 467 aplicativos infectados foram baixados 356,104 vezes e pode ter impactado centenas de milhares de usuários.”, os pesquisadores afirmam.
“Parece que o Maiyadi é muito usado pelos consumidores porque oferece alguns aplicativos de graça,” Ryan Olson, diretor do ramo de inteligência de ameaças da Palo Alto Network, disse em uma entrevista há dois dias.
Três versões do malware WireLurker
Ele também anunciou que os pesquisadores de Palo Alto analisaram três versões do malware, cada um uma melhoria do anterior. Também parece que eles o pegaram durante o desenvolvimento, pois parece que a única coisa que ele faz atualmente é apenas coletar informações dos usuários.
A técnica do WireLurker é incomum, pois parece usar um aplicativo de desktop Mac como parte do ataque ao iOS. Portanto, se um usuário baixar um aplicativo de desktop da loja Maiyadi, o malware será instalado o tempo todo. O que ele faz a seguir é ficar parado até que alguém conecte um dispositivo iOS ao Mac por meio de um cabo USB.
Então o segunda versão do malware ativa, verificar se o dispositivo está “jailbroken” – um termo usado para descrever dispositivos com restrições da Apple removidas. Se este for o caso, ele procura por determinados aplicativos (Taobao, Alipay ou Meitu (um programa de edição de imagem)) instalado no iOS, copia-os no Mac, os infecta com o malware e os cola de volta no iOS.
o terceira variante é o mais preciso. Usando um certificado digital que a Apple geralmente emite para desenvolvedores corporativos, ele tem como alvo dispositivos que não são "jailbroken". Os certificados são emitidos para desenvolvedores que trabalham em aplicativos internos não disponíveis nas lojas da Apple. Baixando tal, uma mensagem para a instalação de um aplicativo de terceiros aparecerá no dispositivo, mas uma vez aprovado, ele baixa o malware completamente.
A Apple está ciente do problema, Olson confirma. Não há violação de segurança de acordo com eles, mas eles gostariam de pesquisar o malware e como ele funciona e podem lançar uma atualização para sua detecção no XProtect.
Enquanto isso, os usuários do iOS podem verificar seus dispositivos com um detector encontrado no serviço de hospedagem baseado na web do GitHub.
