En s’installant sur OS X dans le but de pouvoir par la suite pirater les iPhone et iPad sous iOS, le malware WireLurker annonce une nouvelle ère.
C’est par une étude publiée par Palo Alto Networks, une société spécialisée dans la sécurité informatique, que l’on apprend la découverte du malware WireLurker. Plus que le malware en lui-même, c’est la nouvelle approche qu’il utilise qui inquiète, qui annonce une nouvelle ère dans le piratage.
Actif depuis environ six mois, le malware WireLurker s’installe sur OS X pour, par la suite, pirater les iPhone et iPad qui sont connectés à l’ordinateur via une connexion USB. De fait, ce logiciel malveillant s’attaque aux deux systèmes d’exploitation selon une technique qui n’avait encore jamais été utilisée auparavant.
Découvert en Chine, WireLurker a pour le moment été utilisé pour transformer en cheval de Troie 467 applications pour OS X disponible sur le très populaire kiosque de téléchargements alternatif Maiyadi App Store. Ces programmes contaminés auraient été téléchargés plus de 350 000 fois, ce qui est potentiellement énorme vu qu’un seul Mac peut contaminer plusieurs appareils connectés sous iOS.
Très intelligent, WireLurker patiente jusqu’à qu’un appareil sous iOS soit connecté au Mac via un câble USB. À partir de ce moment, il automatise la génération d’un code malicieux (une première) pour remplacer des éléments binaires des applis originales. Plus que simplement générer et remplacer du code, il va aussi chiffrer le tout pour rendre sa modification irréversible.
WireLurker est également le premier malware à infecter les applications iOS à la manière traditionnelle d’un virus, comme il est le premier à permettre l’installation d’applications tierces sur un iDevices non jailbreaké grâce à un système habituellement réservé aux entreprises.
Selon les chercheurs de Palo Alto Networks, la première application installée sur un iPhone non jailbreaké est une simple liseuse de comic books, vraisemblablement une étape de validation du système avant d’installer des programmes certainement plus dangereux et surtout plus rentables. Dans le cas des appareils jailbreakés, le malware s’en prend déjà aux applications TaoBao et AliPay dans le but de récupérer les informations de paiement.
« Le but ultime des attaques de WireLurker n’est pas complètement clair », reconnaissent tout de même les chercheurs dans leur document, comme il souligne que « Il est évident que cet outil connaît un développement très actif et nous pensons que WireLurker n’a pas encore dévoilé tout son potentiel fonctionnel ».
Cette nouvelle approche du piratage est particulièrement préoccupante pour Palo alto Networks car elle pointe du doigt de nouveaux champs à sécuriser d’urgence sur iOS. La situation est d’autant plus critique que, une fois contaminé, l’iPhone ou l’iPad est régulièrement mis à jour à distance par les attaquants !
Dans cette situation, il est plus que jamais recommandé d’éviter les stores alternatifs et d’autoriser que les applications provenant du Mac App Store de tenir à jour son iOS, mais aussi de se méfier des profils de provisionnement d’entreprise inconnues.