Złośliwe oprogramowanie XCodeGhost na urządzeniach z systemem iOS

XCodeGhost to nazwa zmodyfikowanej, złośliwej wersji oficjalnego środowiska programistycznego XCode firmy Apple, które służy do tworzenia i publikowania aplikacji mobilnych na iOS. XCodeGhost został po raz pierwszy odkryty w 2015 roku i wtedy raporty twierdziły, że wpłynął na stosunkowo ograniczoną liczbę klientów. Ostatnie odkrycia wykazały, że liczba dotkniętych problemem użytkowników iOS była w rzeczywistości znacznie wyższa niż pierwotnie sądzono.

XCodeGhost tworzy złośliwe aplikacje, wstrzykując zły kod do aplikacji po ich kompilacji. Informacje ujawnione w dokumentach upublicznionych w procesie Epic vs Apple pokazują teraz, że liczba osób, które pobrały aplikacje zainfekowane złośliwym kodem XCodeGhost, wynosi w rzeczywistości ponad 120 milionów, a zaatakowanych aplikacji było około 25set.

Aplikacje były instalowane głównie przez chińskich użytkowników i zawierały bardzo popularne, takie jak Angry Bird 2 i WeChat.

Apple oczywiście usunął aplikacje, których dotyczy ten problem, i planował skontaktować się ze wszystkimi zainteresowanymi użytkownikami za pośrednictwem poczty e-mail, informując ich, że pobrali na swoje urządzenia treści zawierające złośliwe oprogramowanie. Wydaje się jednak, że tak się nigdy nie stało. Vice nazwał incydent z XCodeGhost „największym włamaniem do iPhone’a”.

Mimo że większość dotkniętych problemem użytkowników znajdowała się w Chinach, około 18 milionów osób, które pobrały złe aplikacje, znajdowało się w Stanach Zjednoczonych.

Aplikacje XCodeGhost można pobrać na dowolne urządzenie mobilne z systemem iOS. Obejmuje to iPhone'y, iPady, a nawet modele iPod Touch, które były w stanie uruchomić dane aplikacje.

Po wdrożeniu na urządzeniu z systemem iOS aplikacja zawierająca kod XCodeGhost może robić wiele złośliwych rzeczy na zaatakowanym systemie. Zbieranie informacji i odbieranie poleceń z serwerów C2 szkodliwego oprogramowania to dopiero początek.

Złośliwe oprogramowanie może uzyskać z urządzenia wiele informacji, takich jak aktualny czas, typ i nazwa urządzenia, język i kraj ustawiony w urządzeniu, a także uniwersalny unikalny identyfikator urządzenia.

Badacze z Palo Alto Networks odkryli, że złośliwe oprogramowanie może zostać nakazane przez serwery C2 w celu wyświetlenia okna dialogowego fałszywego ostrzeżenia, które może wyłudzić dane uwierzytelniające ofiary, a także odczytać ciągi ze schowka, potencjalnie wyłamując hasła, które nie są wpisywane, ale obsługiwane przez telefon komórkowy menedżer haseł.

Powodem rozpowszechnienia chińskich infekcji za pomocą złośliwego oprogramowania XCodeGhost jest to, że, co ciekawe, niektórzy programiści nie chcieli czekać na pobranie oficjalnej, legalnej wersji XCode firmy Apple z chińskich serwerów i zamiast tego uzyskali złośliwą wersję XCodeGhost z alternatywnych, złych źródeł .