WireLurker

WireLurker es un malware troyano que afecta a los usuarios de iPhone y Mac OSX. Incluso se detectó una aplicación Win32 de la amenaza. Las víctimas de este malware son usuarios ubicados en China. Y como suele ser el caso de este tipo de malware, el vector de propagación fue a través de aplicaciones troyanizadas distribuidas desde una tienda de aplicaciones de terceros.

El mercado específico explotado por WireLurker se llama Maiyadi Application Store. Se detectaron más de 460 aplicaciones cargadas para llevar la amenaza de malware. WireLurker se disfrazó de varios juegos populares para atraer la mayor atención posible de los usuarios desprevenidos. Las versiones que acumularon más descargas se hicieron pasar por Sims 3, International Snooker 2012, Pro Evolution Soccer 2014, Bejeweled 3 y Angry Birds.

Una vez instalado, WireLurker no pierde mucho tiempo. Ejecuta su código dañado de manera bastante transparente: entregó archivos ejecutables, .dll y de configuración corruptos. También se lanzó el juego pirateado específico. Entre los archivos ejecutables, el sistema operativo carga varios como demonios de lanzamiento, y cada uno realiza una tarea diferente. Un demonio de lanzamiento maneja la comunicación con el servidor Command-and-Control (C2, C&C), busca versiones más nuevas y, si está disponible, descarga un paquete de actualización y ejecuta un script de shell adjunto para actualizarse. Las versiones más sofisticadas de WireLurer emplean un demonio de lanzamiento que descarga aplicaciones iOS firmadas con certificados empresariales. La comunicación con el servidor C&C también se estaba cifrando de forma personalizada.

WireLurker puede infectar dispositivos iOS conectados a un sistema ya comprometido a través de una conexión USB. Las acciones posteriores del malware se determinan en función de si el dispositivo conectado tiene jailbreak o no. La comprobación se realiza intentando establecer una conexión con el servicio AFC2 en el dispositivo. Si tiene éxito, indicaría que el dispositivo fue liberado. En ese caso, WireLurker toma ciertas aplicaciones del dispositivo, las coloca en la Mac conectada y las vuelve a empaquetar con archivos con malware. Las aplicaciones modificadas se vuelven a instalar en el dispositivo a través de los protocolos de iTunes implementados por la biblioteca ' libimobiledevice '. El código dañado entregado al dispositivo liberado se puede ejecutar para obtener varios datos como serie, teléfono, número de modelo, ID de Apple, UDID, información de uso del disco, tipo de dispositivo y nombre de la versión. Los datos robados se exfiltran al servidor C2, acompañados de la información de estado de WireLurker.

En cuanto a la versión Win32, tiene un nombre de archivo interno que, cuando se traduce del chino, significa instalador Green IPA. Como su nombre indica, instala dos archivos IPA (archivos de aplicaciones de Apple): uno es una aplicación legítima llamada AVPlayer que sirve como señuelo, mientras que el otro contiene los medios para la comunicación de comando y control con dos servidores diferentes.