Découverte de la faille exploitée par WireLurker, le nouveau malware visant Apple

Hier, les experts ont découvert une importante faille dans le système iOS qui a permis la propagation de WireLurker, un nouveau malware visant Apple.

Hier, des chercheurs en sécurité informatique ont découvert une faille dans le système d’exploitation iOS utilisé pour les téléphones Apple. C’est cette même faille qui avait été exploitée par le malware WireLurker, lui permettant de se propager via un câble USB connecté à des Mac OS X ou à des appareils Windows.

La « Masque Attack« , comme l’ont baptisée les experts, vise les systèmes iOS 7.1.1, 7.1.2, 8.0, 8.1, et 8.1.1 beta. Dans leurs premiers rapports, les chercheurs de FireEye suggéraient que cette vulnérabilité ne pourrait se propager que par câble USB, or il se trouve que l’infection peut aussi se  transmettre par SMS ou courriers électroniques. Mais pour cela, l’attaquant devra convaincre la victime de cliquer sur un lien qui le dirigera vers l’application malicieuse.

Masque Attack permet aux attaquants de remplacer une application iOS fiable par un malware, sans que vous ne vous en rendiez compte. Pour cela, cette vulnérabilité profite du fait que les entreprises sous iOS ne vérifient pas totalement la signature numérique des applications quand le développeur ne les télécharge pas à partir de l’App Store. Donc dans ce cas, iOS n’a pas signalé les certificats de WireLurker dont la signature était conforme, car le malware a téléchargé l’application et l’a directement installé sur le téléphone de l’utilisateur. C’est pour cela que contrairement aux précédents malwares visant iOS, WireLurker pouvait infecter les appareils non-jailbrokés.

FireEye affirme que WireLurker est le seul à exploiter la vulnérabilité Masque, mais il se trouve que celle-ci a circulé parmi les criminels. La faille Masque n’a toujours pas été patchée. Mais, pour sa défense, Apple a rapidement bloqué le certificat utilisé par le malware.

« Il ne faut surtout pas croire que les appareils Mac OS X peuvent se passer d’une protection antivirus »

Peu après la publication de la semaine dernière de l’entreprise de sécurité Palo Alto Networks sur le malware WireLurker, le groupe de pirate a cessé toute attaque.  Cependant, lorsque le malware était toujours opérationnel, il ciblait les appareils Windows et Mac, où il était déjà présent mais ne devenait actif que lorsqu’on connectait un iPhone ou un iPod à son ordinateur. Si cela était le cas, le malware cherchait ensuite les applications populaires installées dans l’appareil iOS connecté. S’il en trouve, WireLurker désinstallait ces applications pour les remplacer par des copies malicieuses et trojanisées. On ne sait pas encore clairement quelles données ils cherchaient à subtiliser.

Les seuls utilisateurs concernés par WireLurker sont ceux ayant téléchargé l’application photo Meitu, Taobao, une application de vente aux enchères ou AliPay, une application de paiement en ligne, et provenant du Maiyadi App Store, un store tiers spécifique à la Chine.

Les experts de chez Palo Alto affirment qu’on a détecté 467 applications malicieuses à Maiyadi, qui depuis le 16 octobre ont été téléchargées plus de 350 000 fois et par plus de 100 000 utilisateurs.

« Il ne faut surtout pas croire que les appareils Mac OS X peuvent se passer d’une protection antivirus » ont déclaré les experts de Kaspersky Lab dans une interview accordée à Securelist. « Non seulement votre appareil sous Mac OS X peut être infecté, mais avec WireLurker on a vu que le malware pouvait passer de votre Mac à votre iPhone. Mais la bonne nouvelle c’est qu’en matière de protection, vous n’avez que l’embarras du choix. Vous pouvez même choisir pour notre version de Kaspersky Internet Security pour Mac« .

Conseils