XCodeGhost Malware su dispositivi iOS
XCodeGhost è il nome di una versione modificata e dannosa dell'ambiente di sviluppo XCode ufficiale di Apple utilizzato per creare e pubblicare applicazioni iOS mobili. XCodeGhost è stato scoperto per la prima volta nel 2015 e all'epoca, i rapporti affermavano che colpiva un numero relativamente limitato di clienti. Recenti scoperte hanno dimostrato che il numero di utenti iOS interessati era in realtà molto più alto di quanto inizialmente pensato.
XCodeGhost crea app dannose iniettando codice dannoso all'interno delle app al momento della loro compilazione. Le informazioni rivelate nei documenti resi pubblici nella causa Epic vs Apple ora mostrano che il numero di persone che hanno scaricato applicazioni infette dal codice dannoso di XCodeGhost è in realtà superiore a 120 milioni e le app interessate erano circa 25cento.
Le applicazioni sono state installate principalmente da utenti cinesi e includevano applicazioni molto popolari come Angry Bird 2 e WeChat.
Apple, ovviamente, ha rimosso le app interessate e ha pianificato di contattare tutti gli utenti interessati tramite e-mail, informandoli che avevano scaricato contenuti contenenti malware sui loro dispositivi. Tuttavia, sembra che questo non sia mai successo. Vice ha definito l'incidente di XCodeGhost il "più grande hack di iPhone".
Sebbene la maggior parte degli utenti interessati si trovasse in Cina, circa 18 milioni di coloro che hanno scaricato le app dannose si trovavano negli Stati Uniti.
Le app XCodeGhost possono essere scaricate su qualsiasi dispositivo mobile con iOS. Ciò include iPhone, iPad e persino modelli di iPod Touch che erano in grado di eseguire le app in questione.
Una volta implementata sul dispositivo iOS, un'app contenente codice XCodeGhost può eseguire una serie di azioni dannose sul sistema compromesso. La raccolta di informazioni e la ricezione di comandi dai server C2 del malware sono solo l'inizio.
Il malware può ottenere molte informazioni dal dispositivo, come l'ora corrente, il tipo e il nome del dispositivo, la lingua e il paese impostati nel dispositivo, nonché l'identificatore univoco universale del dispositivo.
I ricercatori di Palo Alto Networks hanno scoperto che il malware potrebbe essere comandato dai server C2 per inviare una finestra di dialogo di avviso fasullo che potrebbe phishing le credenziali della vittima, nonché leggere stringhe negli appunti, potenzialmente impigliarsi password che non vengono digitate ma gestite da un cellulare gestore di password.
La ragione della prevalenza delle infezioni cinesi con il malware XCodeGhost è che, curiosamente, alcuni sviluppatori non hanno voluto aspettare che la versione ufficiale e legittima di XCode scaricasse dai server cinesi e invece hanno ottenuto la versione dannosa di XCodeGhost da fonti alternative e errate .