Rozpoczął się proces masowego usuwania złośliwego oprogramowania ze sklepu Apple App Store. Jest to pierwszy udany przypadek wprowadzenia złośliwego kodu do sklepu na taką skalę. Do tej pory problem malware'u dotyczył głównie aplikacji spoza oficjalnego sklepu Apple'a, a infekcje ograniczone były do telefonów po operacji jailbreak. Obecnie wiadomo na pewno, że w Apple App Store znalazły się zarażone aplikacje zbudowane przez deweloperów, którzy złośliwego kodu nie umieszczali samodzielnie.

XcodeGhost był obecny w legalnych aplikacjach

Pierwsze doniesienia o aplikacjach w Apple App Store zawierających złośliwe oprogramowanie pochodziło od specjalistów Palo Alto Technologies, którzy donieśli o istnieniu zaledwie pięciu takich przypadków. Fragment złośliwego kodu został nazwany XcodeGhost. Dalsze badania udowodniły ponad wszelką wątpliwość, że mamy do czynienia z pierwszym atakiem o większej skali, gdyż XcodeGhost został znaleziony w setkach sprawdzonych aplikacji.

Zobacz również:

• Ta ustawa przybliża moment, w którym TikTok zostanie zablokowany w USA
• Chiński sklep App Store nie oferuje już tych popularnych aplikacji

Ryan Olson, szef działu Threat Intelligence w firmie Palo Alto Networks poinformował, że obecna wersja XcodeGhost miała jeszcze ograniczoną funkcjonalność i nie udało mu się wykryć kradzieży danych przeprowadzonej tą drogą. Mimo to Olson uważa, że zagrożenie jest bardzo poważne i pokazało, że można wprowadzić złośliwy kod do sklepu App Store poprzez przejęcie kontroli nad komputerami deweloperów piszących legalne oprogramowanie. Obrona przed podobnym scenariuszem ataku będzie trudna i można się spodziewać ponownych ataków, gdy włamywacze skopiują podejście. Jak informuje Ryan Olson: „deweloperzy aplikacji sprzedawanych w sklepach Apple'a znajdują się na celowniku cyberprzestępców i stanowią łatwy cel”.

Chociaż Apple nie podaje ogólnej liczby zarażonych aplikacji, wiadomo, że jest ich kilkaset, gdyż zaledwie jedna firma Qihoo360 Technology Co poinformowała na swoim blogu o wykryciu 344 aplikacji w sklepie Apple'a zarażonych przez XcodeGhost. Na znacznie skromniejszej liście opracowanej przez Palo Alto Technologies oraz Fox-IT znajdują się między innymi Amhexin For iPad, Angry Birds 2 (pobrane z zasobów Apple App Store dla krajów dalekowschodnich), CamScanner, CamCard, Card Safe, CuteCUT, High German Map, Hot Stock Market, MobileTicket, Oplayer, PDFreader, PocketScanner, SaveSnap, Super Jewel Quest 2, TinyDeal.com, WeLoop, WinZip Standard, a także Railway 12306 - jedyna oficjalna aplikacja do kupowania biletów kolejowych w Chinach i WeChat - bardzo popularny w wielu krajach komunikator.

Część z tych zainfekowanych aplikacji udało się wykryć jedynie dzięki analizie ruchu sieciowego.

Droga do ataku

Sklep Apple zakłada kontrolę kodu, a zatem przemycenie wirusa bezpośrednio w aplikacjach byłoby bardzo trudne na większą skalę. Informacje dostarczone przez specjalistów Palo Alto Technologies wskazują jednak, że system dystrybucji Apple'a cechuje się istotną słabością, jaką jest uzależnienie od jednego konkretnego pakietu deweloperskiego o nazwie Xcode. Włamywaczom udało się wprowadzić złośliwe oprogramowanie właśnie do tego składnika, dzięki czemu wszystkie zbudowane później aplikacje zawierały kod konia trojańskiego XcodeGhost. Jak informuje Apple, infekcję pakietu Xcode udało się przeprowadzić w nietypowy sposób – włamywacze opracowali zmodyfikowaną wersję pakietu, która była hostowana na szybkim chińskim serwerze. Serwer ten był wielokrotnie szybszy od oryginalnego, a zatem deweloperzy, którzy wprowadzali aktualizację Xcode, pobierali ją ze znacznie szybszego „mirrora”, znudzeni oczekiwaniem na pobranie dużego pakietu z serwerów Apple'a w USA.

Aplikacje usunięte ze sklepu

Rzecznik Apple'a Christine Monaghan pisze: „aplikacje, o których wiedzieliśmy, że zostały utworzone z użyciem podrobionego oprogramowania, zostały usunięte z App Store. Pracujemy z deweloperami, by upewnić się, że używają właściwej wersji oprogramowania Xcode przy ponownym zbudowaniu swoich aplikacji”.

Apple nie informuje jednak jakie kroki powinni podjąć użytkownicy telefonów i tabletów tej firmy, by upewnić się, że używane przez nich oprogramowanie jest bezpieczne. Nie podaje również liczby aplikacji usuniętych ze sklepu. Nadal nie wiadomo które repozytoria aplikacji App Store zawierały kod XcodeGhost, a do których ten kod nie dotarł, nie jest również znana skala infekcji wśród klientów europejskich i amerykańskich.