XCodeGhost es sin duda una de las noticias de los últimos tiempos, la forma en la que se han infectado aplicaciones legítimas de desarrolladores iOS es una vuelta más a la generación de malware. El conseguir que los desarrolladores se instalen un XCode modificado que en el momento en el que se publicaba la aplicación infectaba ésta, siendo totalmente legítima, es a priori una obra casi perfecta en temas de evasión de los mecanismos de seguridad de Apple en la AppStore. Millones de usuarios de Apple están hoy día en riesgo por las aplicaciones maliciosas legítimasAquí tienes la lista completa de las apps que fueron subidas con este malware a la AppStore oficial. Hay que recordar que aplicaciones como WeChat Messenger, el cual es uno de los clientes de mensajería instantánea más populares del mundo, fueron compiladas utilizando la versión maliciosa de XCode. El malware se extendió a los desarrolladores a través de mensajes en los foros chinos. Los enlaces llevaban al sitio de archivos Balidu dónde se anunciaban como una fuente más rápida para descargar el archivo de 3GB que desde los servidores oficiales de Apple.
 |
| Figura 1: La password de iCloud permite desbloquear todos los servicios de Apple ID |
El ataque significa que los usuarios de aplicaciones populares, como por ejemplo banca y telecomunicaciones construido con este XCode están abiertos a que se les robe las credenciales de iCloud, junto a otros datos del teléfono. Otras aplicaciones infectadas son la aplicación oficial de China para la compra de billetes de ferrocarril, el operador de telefonía móvil Unicom y una de las apliaciones de comercio de acciones más populares del país.
 |
| Figura 2: Código que inyecta XCode |
Según el informe de un desarrollador, XCodeGhost ya ha lanzado los ataques de phishing dónde se puede ver como se solicita a las víctimas introducir su contraseña de iCloud. El ataque de phishing de iCloud descrito fue revelado por primera vez en foros de desarrolladores chinos después de que un programador desarrollase una aplicación benigna con el XCode y se diera cuenta de que la aplicación le incitó a introducir credenciales de iCloud. Usuarios fuera del territorio de China también se vieron afectados por el ataque de phishing. Por ejemplo, WinZip, la aplicación para descomprimir, el navegador Mercury o Musical.ly también están siendo objetivo.
No hay comentarios:
Publicar un comentario