XCodeGhost Malware på iOS-enheder

XCodeGhost er navnet på en modificeret, ondsindet version af Apples officielle XCode-udviklingsmiljø, der bruges til at oprette og udgive mobile iOS-applikationer. XCodeGhost blev først opdaget tilbage i 2015 og dengang hævdede rapporter, at det påvirkede et relativt begrænset antal kunder. Nylige fund har vist, at antallet af berørte iOS-brugere faktisk var meget højere end oprindeligt antaget.

XCodeGhost opretter ondsindede apps ved at injicere dårlig kode inde i apps ved kompilering af dem. Oplysninger, der er afsløret i dokumenter, der er offentliggjort i Epic vs Apple-retssagen, viser nu, at antallet af personer, der downloadede applikationer inficeret med XCodeGhost ondsindet kode, faktisk er over 120 millioner, og de berørte apps var omkring 25 hundrede.

Applikationerne blev hovedsageligt installeret af kinesiske brugere og omfattede enormt populære, såsom Angry Bird 2 og WeChat.

Apple tog naturligvis de berørte apps ned og planlagde at kontakte alle berørte brugere via e-mail og oplyste dem om, at de havde downloadet indhold med malware på deres enheder. Det ser imidlertid ud til, at dette aldrig skete. Vice kaldte XCodeGhost-hændelsen for det "største iPhone-hack".

Selvom de fleste berørte brugere var placeret i Kina, var omkring 18 millioner af dem, der downloadede de dårlige apps, placeret i USA.

XCodeGhost-apps kunne downloades på enhver mobilenhed, der kører iOS. Dette inkluderer iPhones, iPads og endda iPod Touch-modeller, der var i stand til at køre de pågældende apps.

Når en app, der indeholder XCodeGhost-kode, er implementeret på iOS-enheden, kan den gøre et antal ondsindede ting på det kompromitterede system. Informationsindsamling og modtagelse af kommandoer fra malware's C2-servere er kun starten på det.

Malwaren kan få en masse information fra enheden, såsom aktuel tid, enhedstype og navn, sprog og land, der er indstillet i enheden samt enhedens universelt unikke id.

Forskere med Palo Alto Networks opdagede, at malware kunne kommanderes af C2-serverne til at skubbe en falsk alarmdialogboks, der kunne udvise offerets legitimationsoplysninger, samt læse udklipsholderstrenge, der muligvis fanger adgangskoder, der ikke er skrevet, men håndteret af en mobil adgangskodeadministrator.

Årsagen til udbredelsen af kinesiske infektioner med XCodeGhost-malware er, at mærkeligt nok, nogle udviklere ikke ønskede at vente på, at den officielle, legitime Apple-version af XCode skulle downloade fra kinesiske servere og i stedet fik den ondsindede XCodeGhost-version fra alternative, dårlige kilder .