Neutralisation du malware WireLurker pour Mac

La nouvelle sensationnelle de la découverte d’une famille de malwares pour Mac OS X capables d’infecter des appareils iOS a été suivie par une nouvelle déclaration : on avait échappé au pire. Des représentants de la société de sécurité de l’information Palo Alto Networks ont confirmé le démantèlement de la structure de commande de WireLurker, tandis qu’Apple a révoqué le certificat que les individus malintentionnés avaient utilisé pour signer le code malveillant afin de simplifier son chargement sur des iPhones et iPad verrouillés.

Comme l’a déclaré Ryan Olson, chargé des relations publiques de Palo Alto : "WireLurker n’existe plus. Cette attaque s’était distinguée par l’utilisation, pour la première fois, d’une technologie qui était vraiment efficace." L’objectif poursuivi par les attaques à l’aide de WireLurker, limitées au territoire chinois, est inconnu. On sait par contre que ce malware est capable de voler des informations système et des informations de l’utilisateur sur les périphériques nomades. Toutefois, il ne s’intéresse pas aux mots de passe de compte utilisateur ou aux informations d’identification pour la banque électronique.

D’après les informations fournies par les chercheurs, WireLurker attaque le périphérique iOS lorsque celui-ci est connecté au port USB d’un ordinateur infecté. Le malware examine le contenu du périphérique et recherche les applications qui sont très utilisées en Chine : l’application de traitement de photos Meitu, l’application d’achat en ligne sur Taobao ou le client du service de paiement AliPay. Si WireLurker trouve une de ces applications, il la remplace par son homologue Trojan. Ces versions modifiées sont propagées via le magasin en ligne chinois Maiyadi, hébergeur bien connu de versions piratées d’applications pour OS X et iOS. Les experts ont identifié dans son catalogue 467 applications infectées qui, au 16 octobre, avaient été téléchargées par plus de 100 000 utilisateurs, pour un total global de plus de 350 000 téléchargements.

Palo Alto observe WireLurker depuis le 1er juin et au cours de la période écoulée, la société a identifié 3 versions. Ce qui a le plus surpris les enquêteurs, c’est la capacité de ce malware de s’en prendre aux périphériques iOS verrouillés : le fait est que les versions Trojan des applications installées par WireLurker sont signées par un certificat tout à fait légitime. Il appartient à une société chinoise qui participe officiellement au programme lancé par Apple pour le développement d’applications iOS pour entreprises. Il semblerait qu’il a été tout simplement volé. Ce certificat a d’ores et déjà été révoqué.

L’analyse a permis d’établir que le malware n’est pas propagé depuis les serveurs de Maiyadi, mais depuis des stockages dans le cloud offerts par Huawei et Baidu. Lors de son activation, il charge d’abord une série de modules exécutables, de bibliothèques et de fichiers de configuration. Deux processus sont exécutés en permanence sur le périphérique infecté : un maintient la communication avec le serveur de commande et recherche la présence éventuelle de mises à jour tandis que l’autre surveille les connexions USB et définit l’état du périphérique au niveau du jailbreak en tentant de se connecter au service AFC (Apple File Conduit) qui ouvre un accès root sur le périphérique.

Palo Alto a découvert un seul serveur de commande de WireLurker à Hong Kong ; il diffuse des mises à jour et des applications iOS, traite les rapports sur l’état des malwares résidents et reçoit les données volées des deux plateformes attaquées. Les versions antérieures de WireLurker communiquent avec le centre de commande via du texte en clair, la troisième version prend en charge un chiffrement personnalisé.

"Il s’agit probablement de la création d’un groupe de développeurs Mac et iOS doués qui, selon toute vraisemblance, ne sont pas très expérimentés dans la création de malware et dans les méthodes qui permettent d’empêcher sa détection. Dans ce cas, cette première tentative aura été une réussite. Les motifs sont toujours inconnus, mais il est possible que nous puissions répondre à cette question dans quelques temps" avance Ryan Olson.

Source:        Research center

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *