Malware dostał się do App Store, bo programiści nie używali oryginalnych narzędzi

W App Store znalazło się kilkadziesiąt aplikacji, które zawierały szkodliwy kod. Wśród nich znalazł się na przykład popularny w Azji komunikator WeChat. Zagrożenie już zostało zneutralizowane i większość użytkowników nie ma się czym martwić, zwłaszcza jeśli nie mieszkają w Chinach.

Ciekawe jest to, jak szkodliwy kod dostał się do pilnie strzeżonego i kontrolowanego na wszystkie sposoby sklepu firmy Apple. O szkodniku o nazwie XcodeGhost poinformowali chińscy autorzy aplikacji na Weibo kilka dni temu. Jego kod natychmiast został zbadany przez firmę Palo Alto Networks, zajmującą się między innymi bezpieczeństwem aplikacji.

Szkodnik pojawił się w aplikacjach skompilowanych z użyciem złośliwej wersji Xcode – oficjalnego środowiska programistycznego firmy Apple, w którym powstają aplikacje dla systemu iOS i programy dla Maków. Spreparowane środowiska w wersjach od 6.1 do 6.4 zostały udostępnione przez nieznanych sprawców do usługi udostępniania plików Baidu i pobrane przez niektórych deweloperów. Oni zaś skompilowali swoje aplikacje złośliwymi narzędziami i wysłali je do App Store. Aplikacje przeszły proces certyfikacji i trafiły do użytkowników. Liczbę zainfekowanych aplikacji szacuje się na około 300, ale większość z nich jest niedostępna poza Chinami. Te, które można pobrać w innych krajach, raczej nie są popularne poza Azją. Wyjątkiem jest druga część Angry Birds, która jest na liście rozpoznanych aplikacji, opublikowanej dziś rano. Jeśli jednak ktoś ma którąś z nich, polecamy by jak najszybciej się jej pozbył i poczekał na bezpieczną aktualizację.

XcodeGhost atakuje wszystkie wersje iPhone'ów, iPadów i iPodów Touch, na których da się zainstalować zainfekowane aplikacje. Szkodnik zbiera informacje o urządzeniu i użytkowniku, szyfruje je i wysyła do serwerów kontrolujących go protokołem HTTP. Dane, jakie są gromadzone, zawierają między innymi aktualny czas, nazwę aplikacji, informacje o urządzeniu razem z UUID, typ podłączonej sieci, ustawiony język i położenie. Centrum kontroli może zlecić szkodnikowi wyświetlenie okna dialogowego, które przekona użytkownika do wpisania swoich danych, przechwytywanie odwiedzanych odnośników czy też odczytywanie i nadpisywanie danych w schowku.

Ponieważ wśród zainfekowanych aplikacji był bardzo popularny komunikator WeChat, ofiarami XcodeGhosta padło około 500 milionów jego użytkowników na systemie iOS. Poza Azją jest ich jednak niewielu. Deweloperzy już pracują z Palo Alto Networks, by wycofać zainfekowane aplikacje ze sklepu i w ich miejsce udostępnić bezpieczne wersje. WeChat i kilku innych ma już ten proces za sobą.

Wiele osób zadaje sobie pytanie: dlaczego szanujący się deweloper pobiera szemrane środowisko programistyczne z Baidu, a nie z portalu deweloperskiego firmy Apple? Prawdopodobnie winny jest temu rozmiar środowiska. Do jego instalacji trzeba pobrać ponad 3,5 GB danych, a nie zawsze łącza sprzyjają takim operacjom – zwłaszcza jeśli źródło znajduje się na drugim końcu świata. Firma Apple zapewniła, że pracuje z deweloperami i pomaga im pobierać oficjalne wydania Xcode 7.