Wiele firm w USA nadal korzysta z aplikacji Apple zainfekowanych XcodeGhost

Dziesiątki amerykańskich przedsiębiorstw nadal używa aplikacji mobilnych firmy Apple obsianych złośliwym oprogramowaniem dla sprytnego schematu hakerskiego ujawnionego w zeszłym miesiącu jako XcodeGhost.

Firma bezpieczeństwa komputerowego FireEye powiedziała we wtorek, że ma wykryto, że 210 przedsiębiorstw, które wciąż używają zainfekowanych aplikacji, pokazując, że złośliwe oprogramowanie XcodeGhost "jest stałym zagrożeniem bezpieczeństwa", zgodnie z postami na blogu.

W ubiegłym miesiącu odkryto, że ponad 4000 aplikacji zostało zmodyfikowanych z fałszywą wersją Xcode, czyli narzędzie do tworzenia aplikacji firmy Apple.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Złośliwa wersja, nazwana XcodeGhost, dodaje ukryty kod do aplikacji, które może gromadzić informacje identyfikujące urządzenie, a nawet otwarte adresy URL.

Spekulowano, że niektórzy programiści aplikacji, głównie z Chin, mogli pobrać nieuczciwą wersję Xcode z powodu problemów z uzyskaniem go bezpośrednio od Apple. Usługa udostępniania plików w chmurze Baidu jednocześnie hostowała zmodyfikowany Xcode, ale później została usunięta, zgodnie z Palo Alto Networks.

XcodeGhost był alarmujący, ponieważ zainfekowane aplikacje z łatwością ominęły kontrole Apple mające na celu zapobieganie oferowaniu złośliwych aplikacji w jego mobilny App Store. Było to nieco kłopotliwe dla Apple, który utrzymał ścisłą kontrolę nad sklepem, aby utrzymać niskie ryzyko wysokiej jakości i bezpieczeństwa.

Apple usunął zainfekowane aplikacje ze swojego App Store, a niektóre zostały później zastąpione niezagrożonymi wersjami.

Zrzut ekranu / Apple

Narzędzie Xcode firmy Apple służy do tworzenia aplikacji dla urządzeń firmy.

Najnowsze wyniki FireEye pokazują, że wielu użytkowników mogło nie zaktualizować zainfekowanych aplikacji na swoich urządzeniach za pomocą odkażonych wersji.

FireEye powiedział pozostałe złośliwe aplikacje w amerykańskich przedsiębiorstwach nadal próbują skontaktować się z serwerami kontrolnymi XcodeGhost. Aplikacje zawierają starsze wersje aplikacji komunikacyjnej WeChat firmy Tencent oraz aplikację muzyczną o nazwie Music 163.

To niebezpieczne, ponieważ te komunikaty, które nie są zaszyfrowane, mogą zostać przejęte przez innych hakerów i użyte do innych ataków, napisali naukowcy .

Odkąd XcodeGhost został odkryty, niektóre firmy zablokowały ruch sieciowy i zapytania DNS prowadzące do serwerów poleceń i kontroli XcodeGhost.

Ale "dopóki ci pracownicy nie zaktualizują swoich urządzeń i aplikacji, nadal są podatni na potencjalne porwanie XcodeGhost Ruch w sieci CnC - szczególnie w sieciach firmowych - napisała FireEye.

Porwanie ruchu danych może pozwolić osobie atakującej na wyświetlanie niespodziewanych wyskakujących okienek, które wymagają poufnych danych, zmuszenie urządzenia mobilnego do przejścia na adres URL lub rozpowszechnienia Aplikacja nie znajduje się w sklepie Apple.

Nieco zaskakujące jest to, że FireEye wykryło, że 70% urządzeń mobilnych firmy Apple nadal nie zostało uaktualnionych do systemu iOS 9, co jest zalecane. Ponadto, użytkownicy powinni upewnić się, że wszystkie ich aplikacje są aktualne, co powinno wyeliminować zainfekowane aplikacje z ich urządzeń.

Kto stworzył XcodeGhost, opracował również nową wersję, która może być kierowana na iOS 9, o nazwie XcodeGhost S, FireEye napisał .

Ta aktualizacja wydaje się być przeznaczona do obejścia obrony, którą Apple ma wbudowane w iOS 9, aby zapewnić, że większość połączeń z innymi serwerami jest szyfrowana. Używa również metody, aby spróbować pokonać statyczne wykrywanie serwerów kontroli i komend, z którymi komunikuje się, FireEye napisał.

Apple usunął jedną aplikację zainfekowaną XcodeGhost S, która luźno tłumaczy się na "Free State." To aplikacja do zakupów dla podróżnych, którzy byli oferowani w Apple App Store w USA i Chinach, FireEye powiedział.