XCodeGhost Malware iOS-eszközökön

Az XCodeGhost az Apple hivatalos XCode fejlesztői környezetének módosított, rosszindulatú verziójának a neve, amelyet mobil iOS alkalmazások létrehozására és közzétételére használnak. Az XCodeGhost először 2015-ben fedezték fel, majd a jelentések szerint viszonylag korlátozott számú ügyfelet érintett. A legújabb eredmények azt mutatták, hogy az érintett iOS felhasználók száma valójában sokkal magasabb volt, mint azt eredetileg gondolták.

Az XCodeGhost rosszindulatú alkalmazásokat hoz létre azáltal, hogy rossz kódokat juttat az alkalmazásokba az összeállításkor. Az Epic vs Apple perben nyilvánosságra hozott dokumentumokból kiderült információk most azt mutatják, hogy az XCodeGhost rosszindulatú kóddal fertőzött alkalmazásokat letöltő emberek száma valójában meghaladja a 120 milliót, és az érintett alkalmazások 25 százaléka volt.

Az alkalmazásokat főként a kínai felhasználók telepítették, és olyan rendkívül népszerű alkalmazások voltak, mint az Angry Bird 2 és a WeChat.

Az Apple természetesen lebontotta az érintett alkalmazásokat, és azt tervezte, hogy e-mailen keresztül kapcsolatba lép az összes érintett felhasználóval, és tájékoztatja őket arról, hogy rosszindulatú programokkal összekötött tartalmat töltöttek le eszközeikről. Úgy tűnik azonban, hogy ez soha nem történt meg. Vice az XCodeGhost eseményt nevezte a "legnagyobb iPhone-hacknek".

Annak ellenére, hogy az érintett felhasználók többsége Kínában tartózkodott, a rossz alkalmazásokat letöltők mintegy 18 milliója az Egyesült Államokban található.

Az XCodeGhost alkalmazások letölthetők minden iOS-t futtató mobileszközről. Ide tartoznak azok az iPhone, iPad és még iPod Touch modellek is, amelyek képesek voltak futtatni a kérdéses alkalmazásokat.

Miután telepítette az iOS-eszközre, az XCodeGhost kódot tartalmazó alkalmazás számos rosszindulatú dolgot képes végrehajtani a sérült rendszeren. Az információgyűjtés és a parancsok fogadása a rosszindulatú programok C2 szervereiről még csak a kezdete.

A rosszindulatú program sok információt szerezhet az eszközről, például az aktuális időt, az eszköz típusát és nevét, az eszközben beállított nyelvet és országot, valamint az eszköz általánosan egyedi azonosítóját.

A Palo Alto Networks kutatói felfedezték, hogy a rosszindulatú programot a C2 szerverek megparancsolhatják egy hamis riasztási párbeszédpanel megnyomására, amely kihalászhatja az áldozat hitelesítő adatait, valamint elolvashatja a vágólap sztringjeit, és potenciálisan elcsaphat olyan jelszavakat, amelyeket nem gépelt, hanem egy mobil kezel. jelszókezelő.

Az XCodeGhost rosszindulatú programokkal kapcsolatos kínai fertőzések elterjedtségének oka az, hogy kíváncsisággal néhány fejlesztő nem akarta megvárni, amíg az XCode hivatalos, törvényes Apple verziója letöltődik a kínai szerverekről, és ehelyett alternatív, rossz forrásokból szerezte be a rosszindulatú XCodeGhost verziót. .