La société de sécurité Palo Alto Networks a fait souffler un petit vent de panique en publiant un rapport au sujet d'un malware sur les systèmes d'exploitation OS X et iOS. Baptisé WireLurker et ciblant la Chine, il préfigurerait d'un nouveau type de vecteur d'attaque pour les plateformes d'Apple.

Pour WireLurker, Palo Alto Networks fait un parallèle avec le comportement d'un virus informatique capable d'infecter des applications installées sur iOS. Les terminaux non jailbreakés ne sont pas à l'abri des tours de WireLurker.

Maiyadi-App-Store Le malware utilise cependant un chemin détourné avec un passage par un ordinateur Mac grâce à des applications infectées installées depuis Maiyadi App Store qui est une sorte de Mac App Store concurrent de celui d'Apple.

Lorsqu'un terminal sous iOS est connecté par un câble USB au Mac en ayant recours au système de provisionning normalement utilisé par les entreprises (pour le déploiement d'une application), WireLurker peut alors entrer en action sur par exemple l'iPhone.

Il est capable de rechercher sur l'appareil iOS connecté la présence d'applications populaires en Chine telles que l'application photo Meitu, les applications Taobao et AliPay du groupe Alibaba (ventes en ligne et paiement). Le cas échéant, elles sont remplacées sur un terminal jailbreaké par des versions infectées et devenant malveillantes (un cheval de Troie).

Sur un terminal non jailbreaké, WireLurker paraît en apprentissage et ne sait qu'installer une application de lecture de comics qui n'a pas de caractère malveillant.


WireLurker aura été une preuve de concept ?
Passer par le Mac App Store officiel et plus généralement les stores officiel d'Apple sont déjà des garde-fous. Néanmoins, la firme à la pomme a réagi face à la menace WireLurker. " Nous sommes au courant qu'un logiciel malveillant est disponible depuis un site de téléchargement ciblant les utilisateurs en Chine, et nous avons bloqué les applications identifiées pour empêcher leur lancement. "

Apple ajoute qu'il est recommandé aux utilisateurs de télécharger et installer des logiciels depuis des sources sûres. Pour une fois, Apple est sur la même longueur d'onde que Google sur ce point. Il semble qu'Apple a révoqué un certificat électronique authentique qui était utilisé par le malware et permettait de leurrer les terminaux iOS.

Pour certains experts en sécurité, cela ne suffira pas à neutraliser complètement WireLurker qui pourra toujours lire des données sans le certificat. D'autres certificats pourraient aussi être ajoutés en remplacement.

Des chercheurs de Palo Alto Networks ont confirmé que l'infrastructure de commande et contrôle sur laquelle s'appuyait WireLurker a été fermée et qu'Apple a bel et bien révoqué un certificat électronique qui était utilisé pour signer le code du malware afin qu'il puisse infecter des appareils iOS non jailbreakés.

Interrogé par Threatpost (Kaspersky Lab), Ryan Olson, directeur de la recherche au sein de l'Unité 42 de Palo Alto Networks, a déclaré que " WireLurker s'en est allé ". Il a ajouté que de nouvelles techniques présentes dans cette attaque ont démontré qu'elles sont assez efficaces.