Вредоносное ПО XCodeGhost на устройствах iOS

XCodeGhost - это название модифицированной вредоносной версии официальной среды разработки Apple XCode, которая используется для создания и публикации мобильных приложений iOS. XCodeGhost был впервые обнаружен еще в 2015 году, и тогда в отчетах утверждалось, что он затронул относительно ограниченное количество клиентов. Недавние исследования показали, что количество затронутых пользователей iOS на самом деле намного выше, чем предполагалось изначально.

XCodeGhost создает вредоносные приложения, внедряя плохой код в приложения при их компиляции. Информация, раскрытая в документах, обнародованных в судебном процессе Epic против Apple, теперь показывает, что количество людей, загрузивших приложения, зараженные вредоносным кодом XCodeGhost, на самом деле превышает 120 миллионов, а затронутых приложений - около 25 сотен.

Приложения в основном устанавливались китайскими пользователями, в том числе такие очень популярные, как Angry Bird 2 и WeChat.

Apple, конечно же, удалила затронутые приложения и планировала связаться со всеми затронутыми пользователями по электронной почте, сообщив им, что они загрузили на свои устройства контент, зараженный вредоносным ПО. Однако, похоже, этого не произошло. Vice назвал инцидент с XCodeGhost «крупнейшим взломом iPhone».

Несмотря на то, что большинство затронутых пользователей находились в Китае, около 18 миллионов из тех, кто загрузил плохие приложения, находились в США.

Приложения XCodeGhost можно загрузить на любое мобильное устройство под управлением iOS. Сюда входят модели iPhone, iPad и даже iPod Touch, которые могли запускать указанные приложения.

После развертывания на устройстве iOS приложение, содержащее код XCodeGhost, может совершать ряд вредоносных действий в скомпрометированной системе. Сбор информации и получение команд от серверов C2 вредоносной программы - это только начало.

Вредоносная программа может получать от устройства большой объем информации, такой как текущее время, тип и имя устройства, язык и страна, установленные на устройстве, а также универсальный уникальный идентификатор устройства.

Исследователи из Palo Alto Networks обнаружили, что серверы C2 могут дать команду вредоносному ПО, чтобы запустить поддельное диалоговое окно с предупреждением, которое могло бы вывести учетные данные жертвы с помощью фишинга, а также прочитать строки буфера обмена, потенциально подбирая пароли, которые не вводятся, но обрабатываются мобильным менеджер паролей.

Причина распространенности заражения вредоносным ПО XCodeGhost в Китае заключается в том, что, как ни странно, некоторые разработчики не хотели ждать, пока официальная законная версия XCode от Apple загрузится с китайских серверов, и вместо этого получили вредоносную версию XCodeGhost из альтернативных плохих источников. .