WireLurker: o malware que infecta os sistemas operacionais da Apple

A nova família de malware que surgiu essa semana se chama WireLurker e é capaz de infectar dispositivos que executam tanto o sistema operacional móvel iOS, da Apple, quanto o para

A nova família de malware que surgiu essa semana se chama WireLurker e é capaz de infectar dispositivos que executam tanto o sistema operacional móvel iOS, da Apple, quanto o para desktop, Mac OS X. A empresa de segurança Palo Alto Networks, que descobriu a ameaça, acredita que o WireLurker poderia dar início a uma nova era no crescimento de malwares para a Apple.

Durante anos, especialistas têm alertado sobre uma possível investida de vírus maliciosos com foco nos sistemas da Apple. E se os fanáticos pela marca alegam que suas máquinas estão “supostamente” imunes à malware, a realidade é que ele existe, mas não é tão difundido como para Windows e Android.
“O WireLurker foi usado para atacar 467 aplicativos OsX na App Store Maiyadi, uma loja da marca na China”, disse Claud Xiao, pesquisador da Palo Alto Networks. “Nos últimos seis meses, estes 467 aplicativos infectados foram baixados mais de 356 mil vezes e podem ter afetado centenas de milhares de usuários.”

Os produtos da Kaspersky Lab detectam e bloqueiam esta ameaça como Trojan-Downloader. OSX. WireLurker.a, então você está protegido

Para ser mais claro: esta ameaça só infectou um grupo de usuários específicos da China, mas isso não significa que não pode se espalhar para outros lugares.

Curiosamente, o WireLurker, ao contrário da maioria das ameaças anteriores ao iOS, pode infectar dispositivos sem jailbreak. Este é um contexto que faz com que a Palo Alto Networks conclua que esse vírus deva ser levado em conta pela multinacional.

As outras razões são que o WireLurker é uma operação de maior escala do que as famílias anteriores de malware para Apple. É, de fato, a segunda ameaça conhecida capaz de atacar dispositivos iOS via USB (enquanto eles estão conectados a um Mac) e a primeira capaz de infectar aplicativos iOS já instalados.

O vírus infecta máquinas Mac por meio de vetores padrão. Em seguida, espera que o usuário conecte seu dispositivo iOS na porta USB do Mac. Assim que isso acontece, o WireLurker começa a instalar aplicativos maliciosos no dispositivo, principalmente três aplicativos populares: eBay, PayPal e um editor de foto (nas versões chinesas). Em seguida, ele desinstala a versão original desses aplicativos e substitui com as versões infectadas.

wirelurker-install

Tela de instalação de um aplicativo infectado com o WireLurker. (imagem do relatório Palo Alto Networks)

Os investigadores disseram inicialmente que o WireLurker está em desenvolvimento ativo, por isso provavelmente vai mudar e, assim, será possível dizer qual seu propósito real. Pouco antes da publicação, a Palo Alto Networks disse ao Threatpost que a Apple se movimentou rápido para revogar certificados maliciosos do WireLurker e que os seus criadores, até então, tinham parado o funcionamento do malware.

A Palo Alto Networks está oferecendo uma variedade de conselhos sobre como manter o WireLurker fora de suas redes. A maioria do conselho é orientada para as empresas, mas há algumas coisas que gostaríamos de reiterar para que você possa proteger seu computador pessoal:

1. Execute um produto antivírus e mantenha ele atualizado.

2. Confira as “preferências do sistema” do seu OS X e depois as opções de  “segurança e privacidade”. Configure ambas para que só permitam downloads da App Store e desenvolvedores identificados (ver pequeno vídeo abaixo).

3. Não baixe aplicativos de terceiros.

4. Mantenha o iOS e o OS X atualizados.

5. Tenha cuidado ao carregar seu dispositivo iOS em computadores alheios.

Nossos amigos da Kaspersky Lab estão investigando o WireLurker neste momento e em breve publicarão sua própria análise na SecureList. Dito isso, lembre-se: os produtos da Kaspersky Lab detectam e bloqueam ameaças como Trojan-Downloader.OSX.WireLurker.a, então você está protegido.

Tradução: Juliana Costa Santos

Dicas