XcodeGhost: un nuevo malware que infecta muchas aplicaciones populares de iOS

seguridad de manzana

Algunas docenas de aplicaciones para iPhone y iPad, la mayoría de ellas desarrolladas para China, han sido infectadas con XcodeGhost, un malware que recopila información en los dispositivos y carga esos datos en servidores remotos.

Entre ellos se encuentra WeChat, una de las aplicaciones de mensajería instantánea más populares del mundo.

En lugar de explotar una vulnerabilidad de iOS, el malware en cuestión se infiltra indirectamente en las aplicaciones, apuntando a los compiladores oficiales de Apple utilizados para crear aplicaciones legítimas. Se descubrió que el malware inyectaba su código malicioso en un archivo de objeto Mach-O que fue reempaquetado en algunas versiones de Xcode, la herramienta oficial de Apple para desarrollar aplicaciones iOS y OS X.

Estos instaladores de Trojanized Xcode se cargaron en el servicio de intercambio de archivos en la nube de Baidu utilizado por los desarrolladores chinos de aplicaciones, explica Palo Alto Networks. El código malicioso luego se inserta en cualquier aplicación iOS compilada con el Xcode infectado sin el conocimiento de los desarrolladores.

En realidad, no es culpa de Apple: esto nunca habría sucedido si estos desarrolladores hubieran descargado archivos Xcode directamente de Apple. Desde entonces, Baidu ha eliminado todos los archivos infectados de sus servidores y algunas de las aplicaciones infectadas han eliminado el código de malware en sus últimas versiones.

Este es el sexto malware que ha llegado a la App Store oficial después de LBTM, InstaStock, FindAndCall, Jekyll y FakeTor.

El código malicioso de XcodeGhost no es particularmente dañino, por lo que esto explica por qué puede pasar el proceso de detección de la App Store. Las aplicaciones infectadas con XcodeGhost recopilan los siguientes datos de los dispositivos de los usuarios:

  • Tiempo actual
  • Nombre de la aplicación infectada actual
  • El identificador de paquete de la aplicación
  • Nombre y tipo del dispositivo actual
  • Idioma y país del sistema actual
  • UUID del dispositivo actual
  • Tipo de red

Pero se pregunta por qué demonios un desarrollador legítimo de iOS descargaría los archivos Xcode oficiales de una fuente que no sea de Apple. La culpa es de las bajas velocidades de descarga en China y en otros lugares del mundo.

“A veces, las velocidades de red son muy lentas al descargar archivos grandes de los servidores de Apple”, explica Palo Alto Networks. “Como el instalador estándar de Xcode es de casi 3 GB, algunos desarrolladores chinos eligen descargar el paquete de otras fuentes u obtener copias de sus colegas”.

Además, los atacantes no necesitan engañar a los desarrolladores para que descarguen paquetes Xcode no confiables. En cambio, pueden “escribir un malware OS X que descarte directamente un archivo de objeto malicioso en el directorio Xcode sin ningún permiso especial”.

Si bien se ha verificado que WeChat 6.2.5 está infectado, su desarrollador ha lanzado la aplicación a la versión 6.2.6, eliminando el código malicioso.

En total, la publicación ha identificado hasta 39 aplicaciones populares de iOS como infectadas, “algunas de las cuales son extremadamente populares en China y en otros países del mundo, que comprenden cientos de millones de usuarios”.

Las aplicaciones trojanizadas van desde software de mensajería instantánea, aplicaciones bancarias y de operador, programas de mapeo, aplicaciones de comercio de acciones y juegos. Con la excepción de WeChat, la mayoría, si no todas las aplicaciones infectadas están hechas para China, incluidas Didi Chuxing, Railway 12306, Tonghuashun y China Unicom Mobile Office, la aplicación oficial del mayor operador de telefonía móvil en China, China Mobile.

Algunos también están disponibles en la App Store en otros países, como CamCard, un lector y escáner de tarjetas de negocios.

Una vez más, este tipo de malware parece estar dirigido principalmente a aplicaciones desarrolladas para el mercado chino. Pero a medida que ciertas aplicaciones escritas por desarrolladores chinos ganan popularidad en todo el mundo (¡te estamos mirando, WeChat!), Los usuarios de iPhone y iPad deben estar al tanto de este nuevo tipo de infección de malware, incluso si no hay nada que puedan hacer al respecto .

Los desarrolladores deben asegurarse de descargar Xcode directamente de Apple y evitar el uso de compilaciones Xcode descargadas de fuentes de terceros que pueden haber sido infectadas por este malware. Como precaución adicional, los desarrolladores deben verificar periódicamente la integridad de firma de código de Xcode instalada para evitar que Xcode sea modificado por otro malware de OS X.

Fuente: Palo Alto Networks

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *