ИБ-эксперты и СМИ вновь бьют тревогу: злоумышленникам удалось протащить зловреда в официальный магазин Apple. На App Store было обнаружено около 40 популярных приложений, созданных с участием вредоносного кода, который исследователи из Alibaba нарекли XcodeGhost. По свидетельству The New York Times, компания Apple подтвердила, что вирусописатели скопировали ее IDE-инструментарий Xcode и подвергли его модификации. После этого вредоносный репак был загружен на облачный файлообменник Baidu, используемый китайскими разработчиками продуктов для iOS и OS X.

Список зараженных iOS-программ, доступных на App Store, включал в основном приложения, популярные в Китае, хотя некоторые из них используются по всему миру — например, IM-мессенджер WeChat, который установили порядка 500 млн пользователей, и профессиональный сканер визиток CamCard. Комментируя инцидент, представитель Apple Кристин Монаган (Christine Monaghan) отметила, что фейковый Xcode «был опубликован недоверенными источниками». «Чтобы защитить клиентов, мы удалили с App Store приложения, которые, по нашим данным, были созданы с помощью подложного софта», — заявила также Монаган.

Проведенный в Palo Alto Networks анализ подтвердил, что всему виной вредоносный файл Mach-O, внедренный в некоторые версии загрузчика Xcode. Примечательно, что атакующие в данном случае не взламывали программный продукт Apple. Они просто использовали тот факт, что китайские разработчики предпочитают использовать копии Xcode, сохраненные на местных серверах, так как они загружаются быстрее. Опасную фальшивку при этом могли закачать лишь те, у кого отключена защита, предоставляемая Apple: она бы вывела уведомление о подозрительном коде.

Сам iOS-зловред в ходе тестирования продемонстрировал основной функционал — сбор информации о зараженном устройстве и ее отправку в центр управления. Кроме того, по команде с C&C-сервера он способен отображать диалоговое окно для фишинга, подменять открываемый URL, считывать и записывать данные в буфере обмена. Исследователи не преминули отметить, что атаки XcodeGhost актуальны лишь для новейших версий iOS-приложений, которые, возможно, были созданы с помощью подложного Xcode.

Пока неизвестно, сколько пользователей могли скачать зараженные iOS-программы. Получив уведомление от Palo Alto, Baidu удалила вредоносные копии Xcode из облака. Tencent тоже отрапортовала, что устранила проблему в WeChat. Первичная проверка ни кражи, ни утечки у пользователей не обнаружила, однако поклонникам WeChat рекомендуется установить версию 6.2.6 или выше. Также найдены и заблокированы многие серверы, используемые злоумышленниками для хранения краденых данных. В настоящее время специалисты по ИБ из Apple, Alibaba, Palo Alto и разработчики ПО пытаются оценить размеры возможного ущерба.

Update 1. Пока Apple наводит порядок в своем магазине и помогает разработчикам заменить зараженные версии чистыми, список потенциально опасных находок продолжает расти. Так, в конце прошлой недели эксперты ИБ-компании Qihoo 360 обнаружили на App Store 344 XcodeGhost-приложения, а другие китайские исследователи, из Pangu Team, уверяют, что таких программ гораздо больше – свыше 3,4 тысяч. «Мы не проверяли их результат, – комментируют это сообщение в Palo Alto. – Однако с учетом того, что вредоносные инсталляторы Xcode распространяются с марта и исправно попадают в результаты поисковой выдачи, а C&C-серверы подняты тоже в марте, нас не удивит, если число зараженных iOS-приложений окажется намного больше, чем нам казалось».

Исходник XCodeGhost был опубликован на Github; автор публикации при этом принес извинения за резонансные последствия своего «эксперимента». Он также заявил, что злого умысла в его действиях не было, и угрозы инфекция не представляет: сбор данных ограничен лишь базовой информацией о приложении. Как бы то ни было, вред от XCodeGhost уже очевиден, ибо легкое изменение привносимого им функционала позволит злоумышленникам проводить фишинговые атаки и красть пароли iCloud.

Некоторые специалисты в области ИБ уже выпустили бесплатные утилиты для поиска зараженных приложений на iOS-устройствах и советуют не пренебрегать опцией двухступенчатой верификации Apple ID. Разработчикам продуктов для iOS and OS X рекомендуется использовать лишь официальные источники для загрузки инструментария, настроить Gatekeeper на дефолтный уровень защиты и ввести в свой регламент дорелизную проверку инструментов разработки на целостность – по цифровой подписи или по хэшам.

Update 2. Поскольку зловред, по свидетельству Palo Alto, общается с C&C-сервером по HTTP, отправляемые им данные об устройстве могут быть перехвачены в ходе MitM-атаки. Их нетрудно расшифровать: используемый для обмена шифр DES в режиме ECB позволяет получить ключ из кода обратным инжинирингом.

Update 3. Apple расширила свой комментарий к данной атаке, опубликовав список самых ходовых приложений, снятых с App Store из-за инфекции. Пользователям рекомендуется деинсталлировать указанное в Тор 25 ПО и закачать его вновь, как только в магазине появятся новые, чистые версии. Для разработчиков компания предлагает инструкции по определению подлинности загруженной версии Xcode.

Категории: Вредоносные программы