WireLurker, un malware visant les systèmes Mac OS X et iOS d’Apple

Pour atteindre les appareils sous iOS, WireLurke s’attaque d’abord à ceux sous OS X, en remplaçant les applications par des programmes malicieux dès qu’on branche l’appareil via USB.

Une nouvelle espèce de malware appelée WireLurker a été détectée hier. Elle serait en mesure d’infecter les appareils mobiles Apple sous iOS, ainsi que les ordinateurs de bureau opérant sous Mac OS X. Palo Alto Network, la société spécialisée dans les solutions de sécurité qui a découvert la menace, pense que WireLurker pourrait marquer un tournant dans l’histoire des malwares visant Apple.

Depuis des années, les experts nous mettent en garde contre l’arrivée massive de malwares visant les systèmes d’exploitation Apple. Avec la même démesure, Apple ne cesse d’affirmer que ces appareils sont immunisés contre les malwares. Mais, comme souvent, la vérité se trouve entre les deux : il existe évidemment des malwares visant Apple mais ils ne sont pas aussi répandus que ceux visant les systèmes Windows et Android.

« WireLurker aurait infecté 467 applications présentes dans le Maiyadi App Store – un store tiers spécifique à la Chine » affirme Claud Xiao, expert chez Palo Alto Networks. « Et durant les six derniers mois, ces applications auraient été téléchargées plus de 350 000 fois, impactant probablement des centaines de milliers d’utilisateurs.. »

Les produits Kaspersky Lab détectent cette menace comme Trojan-Downloader.OSX.WireLurker.a, et la bloquent donc normalement, vous n’avez pas de souci à vous faire.

Ce malware a seulement infecté les applications vendues dans un magasin en Chine, mais cela ne signifie pas qu’il ne peut pas se répandre ailleurs.

Cependant, contrairement aux précédentes menaces visant les systèmes iOS, WireLurker est capable d’installer des applications tierces sur des terminaux iOS non jailbreakés. C’est l’une des raisons pour lesquelles Palo Alto Networks suppose que WireLurker pourrait marquer un tournant en ce qui concerne les malwares visant Apple.

WireLurker se démarque aussi des autres malwares car c’est la première attaque à grande échelle, c’est aussi le deuxième malware découvert qui soit capable d’attaquer les appareils sous iOS via USB (pendant qu’ils sont branchés sur votre ordinateur). Il génère automatiquement des applications malicieuses, et c’est aussi le premier malware connu capable d’infecter des applications sous iOS déjà installées.

WireLurker passe par des vecteurs d’infection standard pour s’infiltrer dans les appareils Mac. Puis il attend que l’utilisateur branche son appareil sous iOS à son ordinateur Mac pour transiter via le câble USB. Après cela, WireLurker commence à installer des applications malicieuses sur l’appareil sous iOS. Il sévit principalement sur trois applications : l’équivalent d’eBay et de PayPal en Chine et un célèbre éditeur de photos. Il désinstalle ensuite ces applications pour les remplacer par des versions malicieuses.

Au début, les experts pensaient que WireLurker était en cours de développement et donc qu’il serait donc amené à évoluer. Selon eux, il était donc impossible quel était vraiment son objectif final. Peu avant que la nouvelle ne paraisse, Palo Alto Networks a déclaré à Threatpost qu’Apple avaient rapidement révoqué les certificats exploités par le malware et que depuis, toute opération malicieuse avait cessé.

Palo Alto Networks offrent tout un tas de conseil sur comment protèger vos appareils de WireLurker. La plupart des conseils visent les entreprises, mais il y a tout de mêmes quelques points sur lesquels nous aimerions revenir :

  1. Installez un antivirus et mettez-le à jour régulièrement
  2. Vérifiez les « Préférences Systèmes »  puis les paramètres de « sécurité et confidentialité » de votre système OS X, et configurez-le afin de n’autoriser que les téléchargements venant de l’Apple Store et de développeurs connus. (regardez la vidéo ci-dessous)
  1. Ne téléchargez pas d’applications venant de magasins tiers
  2. Mettez régulièrement à jour vos appareils sous iOS et OS X
  3. Attention, ne chargez pas votre appareil iOS en le branchant sur un ordinateur autre que le vôtre.

En ce moment, nos camarades de Kaspersky Lab étudient WireLurker et posteront leur propre analyse sur Securelist un peu plus tard dans la journée. Cela dit, les produits Kaspersky Lab détectent cette menace comme Trojan-Downloader.OSX.WireLurker.a, et la bloquent donc normalement, vous n’avez pas de souci à vous faire.

Mise à jour : Nos experts ont annoncé que des premiers signes de l’existence de Wirelurker avaient été trouvés par nos chercheurs dès juillet 2014 et une étude approfondie a révélé qu’il existait des conversations sur le malware sur certains forums asiatiques à la fin du mois de mai 2014. Il existe également une version du malware pour Windows qui a pour objectif d’infecter les iPhones connectés aux PC Windows. La première version de ce malware a été détectée en mars 2014. Kaspersky Security Network a déjà enregistré des détections de ce malware, très peu (pas plus de 20 jusqu’à maintenant) et la plupart détectée en Chine. Rendez-vous sur Securelist.com pour en savoir plus.   

 

Conseils