Passer au contenu

WireLurker, un nouveau malware qui utilise Mac OS X pour attaquer iOS

Actif depuis six mois environ et mis à nu par une équipe américaine, ce malware s’installe sur les Mac pour ensuite pirater les iPhone ou iPad qui y sont connectés via USB.

Décidément, « les rues de Gotham ne sont plus très sûres… » C’est ce que doit se dire le Commissaire Gordon, dont le rôle est en l’occurrence tenu par Tim Cook lui-même. Palo Alto Networks, société spécialisée dans la sécurité, vient de publier une étude sur une nouvelle espèce de malware pour iOS et Mac OS X, découverte en Chine, qui marque le début d’« une nouvelle ère » selon ses chercheurs.
WireLurker en activité depuis six mois environ s’attaque en effet aux deux systèmes d’exploitation d’Apple dans une mesure jamais observée jusqu’à présent. Même si ce n’est effectivement que le second malware à s’attaquer à iOS en passant par un Mac et la connexion établie entre les deux appareils en USB.

Le coup du magasin tiers

Pour l’instant, WireLurker a été utilisé pour transformer en cheval de Troie 467 applications pour Mac OS X sur un kiosque de téléchargements alternatif très populaire en Chine, le Maiyadi App Store. Ces programmes contaminés auraient été téléchargés 356 104 fois, ce qui représente un potentiel de nuisibilité impressionnant, puisque un seul Mac peut servir à connecter plusieurs appareils sous iOS.

Une fois présent sur une machine, WireLurker attend qu’un appareil sous iOS y soit connecté, via un câble USB. Dès lors, il vaque à ses occupations. C’est ainsi le premier à automatiser la génération d’applications iOS malicieuses en remplaçant les éléments binaires des appli. Il se livre même à de complexes modifications du code avec un chiffrement de l’ensemble pour éviter que toute réversibilité de l’opération. C’est le premier malware, toujours, qui infecte les applications iOS à la manière traditionnelle d’un virus. C’est le premier enfin à installer une application tierce sur des iDevices non jailbreakés grâce au système de provisionnement réservé aux entreprises.

Un chantier en cours

De manière surprenante, pour l’instant, l’application installée sur un iPhone non jailbreaké est une simple liseuse de comic books. Les chercheurs de Palo Alto Networks pensent qu’il s’agit d’une première étape pour vérifier que tout fonctionne correctement, avant d’installer des programmes qui seront plus dangereux et surtout plus rentables économiquement parlant. « Le but ultime des attaques de WireLurker n’est pas complètement clair », reconnaissent-ils. Sur les appareils jailbreakés, le malware est d’ores et déjà un peu plus féroce. Il modifie en effet les applications TaoBao et AliPay, un système de paiement via mobile mis en place par le géant du e-commerce Alibaba, pour récupérer les informations de paiement qui y sont stockées.

Une fois contaminés l’iPhone ou l’iPad peuvent être régulièrement mis à jour à distance par les attaquants, ce qui leur permettra d’installer d’autres applications ou fonctions. « Il est évident que cet outil connaît un développement très actif et nous pensons que WireLurker n’a pas encore dévoilé tout son potentiel fonctionnel », commentent les chercheurs dans leur document.

Quelques règles à suivre?

Ces nouvelles méthodes d’agression sont très préoccupantes soulignent Palo alto Networks, car elles ouvrent de nouveaux champs à sécuriser d’urgence sur iOS. La société américaine a développé un petit script qui permet de détecter si un appareil est contaminé.
En attendant qu’une solution pérenne soit trouvée, comme souvent dans ces cas-là, il est recommandé d’éviter les stores alternatifs aux magasins officiels. Les experts de Palo Alto Networks conseillent également de vérifier que seules les applications provenant du Mac App Store sont autorisées à être installées sur le Mac et de veiller à ce qu’iOS soit à jour. Enfin, ils demandent aux utilisateurs d’appareils sous iOS de se méfier des profils de provisionnement d’entreprise inconnus.

A lire aussi
iOS 8.1 est disponible – 20/10/2014

Sources :
Palo Alto Networks
/ Le white paper (PDF)
WireLurker Detector

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Fontaine