Популярные приложения iOS, зараженные вредоносным ПО для кражи учетных данных iCloud, найдены в китайском магазине приложений

Приложения, зараженные вредоносным ПО для кражи информации, найдены в китайском магазине приложений Apple

Магазин приложений iOS обычно является надежным источником программного обеспечения благодаря строгим проверкам безопасности Apple. Однако недавно было обнаружено, что ряд китайских приложений, размещенных в официальном магазине приложений Apple, были заражены подозрительным кодом, который выкачивает информацию с телефонов пользователей. Похоже, что хакеры нацелились на некоторые версии программного обеспечения, используемого разработчиками для создания приложений для iOS и OS X.

Китайские разработчики на Weibo первыми обратили внимание на вредоносное ПО, которое затем было проанализировано исследователями из Alibaba. Далее результаты подтвердили специалисты по безопасности из Palo Alto Networks.

Согласно экспертам по безопасности, даже популярные приложения, такие как WeChat, чрезвычайно популярное приложение для обмена сообщениями и социальных сетей, и Didi Kuaidi, главный конкурент Uber в Китае, несли угрозу.

Взлом полностью зависит от Xcode, инструмента, используемого для создания приложений для iOS и OS X. Обычно Xcode можно скачать напрямую с сайта Apple бесплатно. Однако также возможно получить Xcode из других источников, таких как форумы разработчиков. Проблема началась, когда разработчики скачали измененные версии Xcode (названные «XcodeGhost» исследователями из Alibaba) с сайтов третьих сторон.

Многие разработчики предпочли скачать Xcode из облачного сервиса Baidu, а не напрямую от Apple. Но каким-то образом эти загрузки были изменены, чтобы добавить вредоносное ПО в приложения, созданные с помощью измененного Xcode, так что они могли собирать, казалось бы, безобидные данные с iPhone, такие как имя устройства и основная информация о сети.

Тем не менее, вредоносное ПО не так уж деликатно. Старший исследователь вредоносного ПО Palo Alto Networks Клауд Сяо сказал Forbes: «им можно управлять удаленно, чтобы фишить или использовать уязвимости локальной системы или приложения». Это делает XcodeGhost потенциально более опасным, и, похоже, это точка входа на iPhone для дальнейшей эксплуатации.

Райан Олсон, директор по разведке исследовательского подразделения Unit 42 в Palo Alto Networks, объяснил дальше: «После связи с сервером командования и управления для загрузки информации об инфицированном устройстве вредоносное ПО получает зашифрованный ответ от сервера. Этот ответ содержит несколько возможных команд. Одна из них указывает сообщение, которое нужно отправить пользователю в виде всплывающего окна с предупреждением».

«У нас есть доказательства того, что это использовалось для фишинга учетных данных iCloud у пользователей зараженных приложений. Ответ также может содержать URL, который приложение затем откроет. Мы не знаем, как это используется, но это может быть использовано для отправки других приложений на телефоне на потенциально вредоносные ресурсы».

После того как приложение было загружено, приложения, разработанные с кодом XcodeGhost, будут собирать ряд деталей о устройстве клиента. Извлеченные данные включают имя устройства, UUID, язык, тип сети страны и текущее время — ни одно из которых не является чем-то, что хакер мог бы действительно использовать против вас. Не огромное нарушение, но никто не хочет, чтобы за ним следили неизвестные источники.

Любые разработчики, которые получили свою копию Xcode из неофициального источника, могут быть затронуты. Согласно Palo Alto Networks, расположенной в США, казалось, что инфекции изначально были ограничены китайскими приложениями и в основном затрагивали китайских пользователей. Однако теперь стало очевидно, что гораздо более широкий спектр приложений был заражен, затрагивая сотни миллионов пользователей по всему миру. Компания отметила, что CamCard, самый популярный сканер и считыватель визиток в США и многих других странах, содержал XcodeGhost.

Разработчики, создающие корпоративные приложения, также могут быть затронуты XcodeGhost. Это приложения, созданные компаниями специально для устройств своих сотрудников, поэтому им не нужно проходить какие-либо проверки безопасности Apple. Однако «это довольно неясная атака», — сказал Чарли Миллер, исследователь безопасности в Uber, который в 2011 году внедрил свое вредоносное ПО в App Store.

Хотя вредоносное ПО в самом App Store не вызывает беспокойства, более важный вопрос здесь в том, как оно прошло строгие проверки безопасности Apple.

«Вы можете полностью доверять разработчику приложения, и этот разработчик может быть совершенно надежным, но это случай, когда приложение не было таким», — сказал Миллер. Факт в том, как программное обеспечение, созданное из поддельной версии Xcode, попало в App Store.

Apple не ответила на запросы о комментариях по поводу XcodeGhost и зараженных приложений.

Должны ли потребители и люди, которые загрузили вредоносные приложения, беспокоиться? Возможно, только немного. «Я бы не волновался слишком сильно», — говорит Миллер. Приложения, которые прошли проверку, не выглядели так, чтобы делать что-то неприятное. «Если бы вы сделали это действительно, очевидно, плохо, вероятно, [Apple] поймала бы это», — говорит Миллер.

Мораль истории в том, что если вы загрузили одно из этих ненадежных приложений, удалите его и сообщите о других, которые смогли пройти. Также разработчики не должны загружать свои инструменты с случайных сторонних сайтов.