Зловредів XcodeGhost заражає офіційні додатки для iOS

1. До речі, що таке Xcode, а що - XcodeGhost?
2. Як хакери примудрилися скомпрометувати програми?
3. Що далі?

В захищеному Едемі Apple завівся черв'як: з App Store видаляють близько 40 додатків, заражених вірусом. Зокрема, зловредів XcodeGhost заражені такі додатки, як WeChat (а у цієї програми понад 600 млн передплатників по всьому світу), додаток для скачування музики від NetEase, зчитувач візиток CamCard, аналог Uber від Didi Kuaidi ... і навіть китайська версія Angry Birds 2.

Apple витрачає багато коштів і часу, щоб вивчити кожен додаток, що потрапляє в Apple Store. Довгий час це окупалося, вигідно відрізняючи магазин компанії від Google Play і сторонніх ресурсів, які були буквально переповнені шкідливим ПЗ (по крайней мере, поки Google не запустила свою власну систему перевірки файлів на наявність вірусів в 2014 році).

У цьому контексті вересень 2015 року було особливо невдалим для Apple: на початку місяця фахівці виявили вірус, що вражає зламані iOS-пристрої, і всі заговорили про «Найбільшому крадіжці Apple-акаунтів в історії» , А тепер компанія Palo Alto Networks повідомила про заражених додатках вже в самому App Store.

До речі, що таке Xcode, а що - XcodeGhost?

Xcode - це безкоштовний пакет інструментів для розробників, що займаються створенням додатків для iOS і OS X. Офіційно його можна завантажити з сайту Apple, а неофіційно - ще з купи сторонніх веб-сайтів.

XcodeGhost - це шкідливе ПЗ, розроблене спеціально, щоб заражати інструменти Xcode, а слідом і створені з його допомогою програми. Інфіковані додатки крім основної функції починають красти дані користувачів і відправляти їх на віддалений сервер до хакерів.

Як хакери примудрилися скомпрометувати програми?

Офіційний пакет інструментів Xcode від Apple не був зламаний; виною всьому неофіційна версія інструментів з хмарного сховища в Baidu (це щось на зразок китайського Google). Насправді в Китаї досить часто скачують необхідні інструменти зі сторонніх сайтів, що хакери і використовували в своїх цілях.

Треба сказати, що розробники в Китаї скачують інструменти з неофіційних і, відповідно, ненадійних джерел не без причини. В країні не надто швидкий Інтернет; більш того, китайський уряд обмежує доступ до іноземних серверів всього трьома шлюзами. Установчий пакет інструментів Xcode важить 3,59 Гб, і в таких умовах з сайту Apple він може скачиваться дуже довго.

Так що зловмисникам потрібно було тільки завантажити хитромудро заражений пакет інструментів на сервер і дозволити офіційних розробників зробити всю роботу. дослідники Palo Alto Networks відзначають , Що інфікований набір інструментів Xcode знаходився у відкритому доступі близько шести місяців. За цей час його безліч разів скачали і використовували для створення нових додатків і оновлених версій старих програм. Інфіковані додатки, звичайно ж, були відправлені розробниками в App Store і якимось чином успішно пройшли систему сканування файлів на наявність вірусів, використовувану Apple.

Що далі?

нещодавно Apple підтвердила газеті Reuters, що всі відомі їй скомпрометовані додатки були видалені з App Store і тепер компанія працює з розробниками ПЗ для iOS і перевіряє, що вони використовують офіційну версію Xcode.

На жаль, на цьому наші проблеми не закінчуються. Все ще неясно, скільки додатків постраждало від вірусу. Наприклад, в Reuters зазначають, що китайська компанія Qihoo360 Technology Co. стверджує, що її фахівці з безпеки виявили 344 додатки, заражених XcodeGhost.

Цей інцидент може стати новою віхою в розвитку кіберзлочинів, в якій розробники потраплять під удар нарівні з неофіційними магазинами і звичайними користувачами. Інші злочинці можуть почати копіювати тактику автора XcodeGhost. Більш того, інститут SANS недавно повідомив, що автор XcodeGhost опублікував вихідний код зловреда на GitHub у відкритому доступі.

Так співпало, що раніше в цьому році інструменти Xcode вже ставали предметом обговорення. Того разу це сталося через Jamboree, секретного щорічного зльоту фахівців з безпеки, який спонсорує ЦРУ .

На цій зустрічі неназвані дослідники безпеки повідомили, що їм вдалося створити модифіковану версію Apple Xcode, здатну вбудувати шпигунський бекдор в будь-який додаток або програму, створені за допомогою цих інструментів.