Se encontró un gusano en red tan segura de Apple. Alrededor de 40 apps de App Store de iOS están siendo reparadas, ya que fueron infectadas por un código malicioso diseñado con el fin de construir una botnet con dispositivos Apple.
El malware XcodeGhost afectó a decenas de apps, entre ellas: WeChat (con más de 600 milliones de usuarios), la aplicación de descarga de música NetEase, el escáner de tarjetas de visita CamCard y la aplicación de alquiler de coches de Didi Kuaidi, parecida a Uber. El colmo es que las versiones chinas de Angry Birds 2 también fueron infectadas, ¡es que ya no hay respeto!
Apple emplea una gran cantidad de tiempo y esfuerzo en monitorizar cada una de las apps ubicadas en la Apple Store. Estos esfuerzos realmente la diferencían de Google Play y otras tiendas de aplicaciones móviles, que están completamente plagadas de software malicioso (por lo menos hasta que Google lanzó su sistema de escaneo de malware en 2014).
En contraste, septiembre del 2015 parece estar siendo bastante infructuoso para Apple, ya que los expertos encontraron malware dirigido a los dispositivos con Jailbreak, un ataque al que todo el mundo se refirió como el “mayor robo en el que se han visto involucradas las cuentas de Apple“, y ahora la compañía de seguridad informática de Palo Alto Networks ha encontrado el software comprometido en la App Store.
XcodeGhost #iOS Malware Contained: https://t.co/pBYDo6wMJI via @threatpost #apple pic.twitter.com/0DHpiHBMy8
— Kaspersky (@kaspersky) September 21, 2015
¿Qué es Xcode y qué es XcodeGhost exactamente?
Xcode es un conjunto de herramientas gratuitas utilizadas por los desarrolladores de software para crear apps para iOS y Apple Store. Apple lo distribuye oficialmente y otras compañías lo distribuyen de forma no oficial.
XcodeGhost es un software malicioso diseñado para afectar a Xcode y, en consecuencia, comprometer a ciertas apps creando herramientas infecciosas. Las aplicaciones infectadas roban los datos personales de los usuarios, enviándoselos a los hackers.
Parece haber 40 o más aplicaciones infectadas en la #AppStore #Apple #malware
Tweet
¿Cómo fueron comprometidas las apps?
El software official de Apple, Xcode, no fue comprometido, el problema se encuentra en la versión no oficial de la herramienta, que se encuentra subida al servicio de almacenaje en la nube llamado Baidu (que es un tipo de Google chino). La descarga de las herramientas necesarias desde páginas web de terceros es una práctica muy común en China, y como ya hemos visto, no se trata de un buen hábito.
Existe una razón por la cual los desarrolladores chinos escogen sitios web poco seguros y no oficiales en lugar de las legítimas. Internet es bastante lento en este país; además, el gobierno chino limita el acceso a los servidores extranjeros por tres vías. Ya que el tamaño del paquete de instalación de las herramientas Xcode es de unas 3,59 GB, la descarga desde los servidores de Apple tardaría demasiado tiempo.
https://twitter.com/panzer/status/645823037871292417
Por lo tanto, todo lo que tuvieron que hacer los hackers que están detrás de XcodeGhost fue infectar un paquete de herramientas ilegítimo con un malware inteligente e imperceptible y esperar a que los desarrolladores legítimos hicieran todo el trabajo. Los investigadores de Palo Alto Networks determinaron que el paquete malicioso Xcode ha estado disponible durante seis meses y se ha descargado y utilizado para crear una gran cantidad de aplicaciones nuevas y actualizaciones de iOS. Después fueron introducidas de forma natural en la App Store y, de alguna forma, burlaron el sistema de escaneo antimalware de Apple.
Avoid submitting your app with a compromised version of Xcode by using the new `verify_xcode` fastlane action pic.twitter.com/732ubbvUmS
— Felix Krause (@KrauseFx) September 21, 2015
¿Qué sigue?
Apple le confirmó a Reuters recientemente que todas las aplicaciones maliciosas que se conocen ya fueron eliminadas de la App Store y que la compañía trabaja actualmente con los desarrolladores para asegurarse de que utilicen la versión correcta de Xcode.
Apple Asks Developers To Verify Their Version Of Xcode Following Malware Attack On Chinese App Store http://t.co/OtBO21SGX6 by @sarahintampa
— TechCrunch (@TechCrunch) September 22, 2015
Desgraciadamente, esto no termina aquí. Todavía no se sabe a ciencia cierta el número de apps que han sido infectadas. Según Reuters, la empresa de seguridad Qihoo 360 Technology Co afirma haber descubierto 344 apps infectadas con XcodeGhost.
Este incidente puede significar el principio de una nueva era de cibercrímen en la que tanto los desarrolladores como las tiendas no oficiales y los usuarios habituales pueden estar en riesgo. Es posible que otros criminales sigan las tácticas de los creadores de XcodeGhost. Además, el Instituto SANS declaró que el autor de XcodeGhost publicó el código fuente del malware en GitHub, por lo que está disponible de manera gratuita.
Casualmente, a principios de este año las herramientas de Xcode se dieron a conocer en los medios. En ese caso fue por la “Jamboree”, una reunión anual secreta de investigadores de seguridad financiada por la CIA.
The CIA has waged a secret campaign to defeat security mechanisms built into Apple devices. http://t.co/a8kN5pHHtu pic.twitter.com/JpkTok0rx6
— The Intercept (@theintercept) March 10, 2015
Durante la reunión, algunos de los investigadores afirmaron haber creado una versión modificada del Xcode de Apple que podría saltarse la vigilancia de las puertas traseras e infiltrarse en las apps creadas mediante la herramienta.