Aplicaciones populares de iOS infectadas con malware para robar credenciales de iCloud encontradas en la tienda de aplicaciones china

Aplicaciones infectadas con malware que roba información encontradas en la tienda de aplicaciones china de Apple

La App Store de iOS suele ser una fuente confiable de software, gracias a los estrictos controles de seguridad de Apple. Sin embargo, recientemente se descubrió que un número de aplicaciones chinas alojadas en la App Store oficial de Apple estaban infectadas con un código sospechoso que extraía información de los teléfonos de los usuarios. Parece que los hackers han apuntado a algunas versiones del software utilizado por los desarrolladores para crear aplicaciones para iOS y OS X en primer lugar.

Los desarrolladores chinos en Weibo fueron los primeros en destacar el malware, que luego fue analizado por investigadores de Alibaba. Además, la empresa de seguridad Palo Alto Networks verificó los resultados.

Según los expertos en seguridad, incluso aplicaciones populares como WeChat, una aplicación de mensajería y redes sociales muy popular, y Didi Kuaidi, el principal rival de Uber en China, llevaban la amenaza.

El hack depende completamente de Xcode, una herramienta utilizada para crear aplicaciones de iOS y OS X. Generalmente, Xcode se puede descargar directamente de Apple de forma gratuita. Sin embargo, también es posible obtener Xcode de otras fuentes, como foros de desarrolladores. El problema comenzó cuando los desarrolladores descargaron versiones alteradas de Xcode (nombradas “XcodeGhost” por los investigadores de Alibaba) de sitios de terceros.

Muchos desarrolladores optaron por obtener Xcode del servicio de compartición de archivos en la nube de Baidu en lugar de directamente de Apple. Pero de alguna manera, esas descargas habían sido modificadas para agregar malware a las aplicaciones construidas con el Xcode alterado, por lo que recogerían datos aparentemente inofensivos de los iPhones, como el nombre del dispositivo y la información básica de la red.

Sin embargo, el malware no es tan delicado. Claud Xiao, investigador senior de malware en Palo Alto Networks, dijo a Forbes: “puede ser controlado de forma remota por el atacante para robar información o explotar vulnerabilidades locales del sistema o de la aplicación”. Eso hace que XcodeGhost sea potencialmente más peligroso y parece ser un punto de entrada a los iPhones para una mayor explotación.

Ryan Olson, director de inteligencia de la unidad de investigación Unit 42 en Palo Alto Networks, explicó más: “Después de contactar al servidor de comando y control para cargar información sobre el dispositivo infectado, el malware recupera una respuesta encriptada del servidor. Esta respuesta contiene múltiples comandos posibles. Uno de ellos especifica un mensaje para enviar al usuario en forma de un aviso de alerta.”

“Tenemos evidencia de que esto se utilizó para ‘phishing’ de credenciales de iCloud de los usuarios de aplicaciones infectadas. La respuesta también puede contener una URL que la aplicación abrirá. No sabemos cómo se está utilizando, pero podría usarse para enviar otras aplicaciones en el teléfono a recursos potencialmente maliciosos.”

Una vez que se ha descargado la aplicación, las aplicaciones desarrolladas con el código de XcodeGhost recogerán una serie de detalles sobre el dispositivo de un cliente. Los datos extraídos incluyen el nombre del dispositivo, UUID, idioma, tipo de red del país y la hora actual, ninguno de los cuales es algo que un hacker realmente podría usar en tu contra. No es una gran violación, pero nadie quiere ser rastreado por fuentes desconocidas.

Cualquier desarrollador que haya obtenido su copia de Xcode de una fuente no oficial podría verse afectado. Según Palo Alto Networks, con sede en EE. UU., parecía que las infecciones estaban contenidas en aplicaciones chinas al principio y afectaban en gran medida a usuarios chinos. Sin embargo, ahora se ha vuelto obvio que un rango mucho más amplio de aplicaciones estaba infectado, afectando a cientos de millones de usuarios en todo el mundo. La firma señaló que CamCard, el lector y escáner de tarjetas de presentación más popular en EE. UU. y muchos otros países, contenía XcodeGhost.

Los desarrolladores que crean aplicaciones empresariales también podrían verse afectados por XcodeGhost. Estas son aplicaciones hechas por empresas específicamente para los dispositivos de sus propios empleados, por lo que no tienen que pasar por ningún tipo de control de seguridad de Apple. Sin embargo, “ese es un ataque bastante oscuro”, dijo Charlie Miller, un investigador de seguridad en Uber que logró introducir su propio software malicioso en la App Store en 2011, a Wired.

Si bien el malware en la App Store en sí no es una preocupación, la pregunta más grande aquí es cómo logró pasar los estrictos controles de seguridad de Apple.

“Puedes confiar completamente en el desarrollador de la aplicación, y ese desarrollador puede ser completamente confiable, pero este es un caso en el que la aplicación no lo era”, dijo Miller. El hecho es cómo el software hecho a partir de una versión manipulada de Xcode encontró su camino en la App Store.

Apple no ha respondido a las solicitudes de comentarios sobre XcodeGhost y las aplicaciones infectadas.

¿Deberían los consumidores y las personas que han descargado las aplicaciones maliciosas estar preocupados? Quizás solo un poco. “No me preocuparía demasiado”, dice Miller. Las aplicaciones que lograron pasar no parecían hacer nada desagradable. “Si lo hiciste realmente, obviamente malo, probablemente [Apple] lo atraparía”, dice Miller.

La moraleja de la historia es que si has descargado una de estas aplicaciones poco confiables, elimínala y sigue con informes de otras que se hayan colado. Además, los desarrolladores no deberían descargar sus herramientas de sitios de terceros aleatorios.