Aplicativos populares do iOS infectados com malware para roubar credenciais do iCloud encontrados na loja de aplicativos chinesa

Aplicativos Infectados Com Malware de Roubo de Informação Encontrados na Loja de Aplicativos Chinesa da Apple

A App Store do iOS é geralmente uma fonte confiável de software, devido aos rigorosos controles de segurança da Apple. No entanto, recentemente, foi descoberto que um número de aplicativos chineses hospedados na loja oficial da Apple estava infectado com um código duvidoso que estava siphonando informações dos telefones dos usuários. Parece que os hackers miraram algumas versões do software usado pelos desenvolvedores para criar aplicativos para iOS e OS X em primeiro lugar.

Desenvolvedores chineses no Weibo foram os primeiros a destacar o malware, que foi então analisado por pesquisadores da Alibaba. Além disso, a empresa de segurança Palo Alto Networks verificou os resultados.

De acordo com os especialistas em segurança, até aplicativos populares como WeChat, um aplicativo de mensagens e redes sociais extremamente popular, e Didi Kuaidi, o principal rival da Uber na China, carregavam a ameaça.

O hack depende inteiramente do Xcode, uma ferramenta usada para criar aplicativos iOS e OS X. Geralmente, o Xcode pode ser baixado diretamente da Apple gratuitamente. No entanto, é possível obter o Xcode de outras fontes também, como fóruns de desenvolvedores. O problema começou quando os desenvolvedores baixaram versões alteradas do Xcode (nomeadas “XcodeGhost” pelos pesquisadores da Alibaba) de sites de terceiros.

Muitos desenvolvedores optaram por pegar o Xcode do serviço de compartilhamento de arquivos em nuvem Baidu em vez de diretamente da Apple. Mas de alguma forma, esses downloads foram ajustados para adicionar malware aos aplicativos construídos com o Xcode alterado, de modo que eles capturariam dados aparentemente inócuos dos iPhones, como nome do dispositivo e informações básicas da rede.

No entanto, o malware não é tão delicado. O pesquisador sênior de malware da Palo Alto Networks, Claud Xiao, disse à Forbes: “ele pode ser controlado remotamente pelo atacante para phishing ou explorar vulnerabilidades locais do sistema ou do aplicativo”. Isso torna o XcodeGhost potencialmente mais perigoso e parece ser um ponto de entrada para iPhones para exploração adicional.

Ryan Olson, diretor de inteligência da unidade de pesquisa Unit 42 da Palo Alto Networks, explicou mais: “Depois de contatar o servidor de comando e controle para enviar informações sobre o dispositivo infectado, o malware recupera uma resposta criptografada do servidor. Essa resposta contém múltiplos comandos possíveis. Um deles especifica uma mensagem a ser enviada ao usuário na forma de um alerta.”

“Temos evidências de que isso foi usado para ‘phish’ credenciais do iCloud de usuários de aplicativos infectados. A resposta também pode conter uma URL que o aplicativo abrirá. Não sabemos como isso está sendo usado, mas poderia ser usado para enviar outros aplicativos no telefone para recursos potencialmente maliciosos.”

Uma vez que o aplicativo foi baixado, os aplicativos desenvolvidos com o código do XcodeGhost coletarão uma série de detalhes sobre o dispositivo de um cliente. Os dados extraídos incluem o nome do dispositivo, UUID, idioma, tipo de rede do país e a hora atual — nenhum dos quais é algo que um hacker poderia realmente usar contra você. Não é uma grande violação, mas ninguém quer ser rastreado por fontes desconhecidas.

Qualquer desenvolvedor que obteve sua cópia do Xcode de uma fonte não oficial pode ser afetado. De acordo com a Palo Alto Networks, com sede nos EUA, parecia que as infecções estavam contidas a aplicativos chineses no início e afetavam em grande parte usuários chineses. No entanto, agora ficou óbvio que uma gama muito maior de aplicativos foi infectada, afetando centenas de milhões de usuários em todo o mundo. A empresa observou que o CamCard, o leitor e scanner de cartões de visita mais popular nos EUA e em muitos outros países, continha XcodeGhost.

Desenvolvedores que criam aplicativos empresariais também podem ser afetados pelo XcodeGhost. Esses são aplicativos feitos por empresas especificamente para os dispositivos de seus próprios funcionários, para que não precisem passar por qualquer tipo de verificação de segurança da Apple. No entanto, “esse é um ataque bastante obscuro”, disse Charlie Miller, um pesquisador de segurança da Uber que colocou seu próprio software malicioso na App Store em 2011, à Wired.

Embora o malware na própria App Store não seja uma preocupação, a questão maior aqui é como ele passou pelos rigorosos controles de segurança da Apple.

“Você pode confiar completamente no desenvolvedor do aplicativo, e esse desenvolvedor pode ser completamente confiável, mas este é um caso em que o aplicativo não era”, disse Miller. O fato é como o software feito a partir de uma versão adulterada do Xcode encontrou seu caminho na App Store.

A Apple não respondeu a pedidos de comentário sobre o XcodeGhost e os aplicativos infectados.

Os consumidores e pessoas que baixaram os aplicativos maliciosos devem se preocupar? Talvez apenas um pouco. “Eu não me preocuparia muito”, diz Miller. Os aplicativos que conseguiram passar não pareciam fazer nada desagradável. “Se você fizesse algo realmente, obviamente ruim, provavelmente [a Apple] pegaria”, diz Miller.

A moral da história é que se você baixou um desses aplicativos não confiáveis, exclua-o e faça relatórios sobre outros que escaparam. Além disso, os desenvolvedores não devem baixar suas ferramentas de sites de terceiros aleatórios.