Apple удалила вредоносные приложения из App Store после первой официально признанной масштабной атаки на сервис.
17 сентября после жалоб пользователей китайского сервиса микроблогов Weibo стало известно об атаке.
Согласно данным Palo Alto Networks, изначально вирус распространился через модифицированную версию инструмента для разработки приложений для iOS — Xcode. Как объяснили исследователи, в Китае загрузка установочных файлов с сайтов Apple зачастую происходит медленно, поэтому разработчики размещают их на сторонних файлообменниках, а в случае с Xcode речь шла о дистрибутиве в 3 ГБ.
Злоумышленники модифицировали Xcode, добавив в него заражённый файл CoreServices, который содержит системные сервисы, использующиеся практически в любом iOS-приложении. При компиляции программ к ним добавлялся вредоносный код (исследователи назвали его XcodeGhost), позволяя собирать данные о пользователе.
При запуске приложений, созданных при помощи модифицированной версии Xcode, устройство отправляло злоумышленникам пакет данных о пользователе. В него входили название приложения, время, тип и уникальный идентификатор устройства, страна местонахождения и используемый язык интерфейса, а также тип подключения к интернету.
Помимо этого, XcodeGhost отображал поддельные уведомления от приложений (например, чтобы через фишинговые схемы заставить пользователя ввести свои данные), перехватывал процесс открытия сторонних ссылок, а также мог читать содержимое буфера обмена системы. Последнее позволяло злоумышленникам красть пароли пользователей, скопированные из сторонних менеджеров кодов доступа вроде 1Password.
Хотя приложения в App Store проходят процедуру верификации, в данном случае модераторы Apple не заметили попадания вредоносного кода в их систему. По мнению исследователей в Palo Alto Networks, по сравнению с другими вирусами, созданными для iOS, поведение XcodeGhost было не таким уж и подозрительным.
Тем не менее при помощи XcodeGhost удалось заразить более 39 приложений в App Store, включая популярный аналог Uber Didi Chuxing, единственное официальное в Китае приложение для попупки железнодорожных билетов Railway 12306, а также абонентский сервис крупнейшего китайского оператора China Unicom Mobile Office. Не все из них находились в китайской версии App Store: уязвимыми оказались популярный ридер визитных карточек CamCard, находящийся в американском магазине, и мессенджер WeChat, популярный и за пределами Китая.
Вечером в воскресенье 20 сентября представители Apple подтвердили информацию, опубликованную в исследованиях Palo Alto Networks, и сообщили об удалении из App Store приложений, созданных при помощи XcodeGhost. По мнению специалистов по безопасности из Palo Alto Networks, разработчикам следует всегда использовать только официальные дистрибутивы, скачанные напрямую с сайтов Apple.
В Apple не сообщили точное количество приложений, подверженных XcodeGhost, и не уточнили, какие меры могут предпринять пользователи для обнаружения у себя вредоносного кода.
Источник: tjournal.ru
