Se ha encontrado un gusano en la segura red de Apple. Unas 40 apps de la App Store de iOS están siendo reparadas, ya que han sido infectadas por un código malicioso diseñado con el fin de construir una botnet con dispositivos Apple.
El malware XcodeGhost ha afectado a decenas de apps entre las que se incluyen: WeChat (con más de 600 milliones de usarios), la aplicación de descarga de música NetEase, el escáner de tarjetas de visita CamCard y la aplicación de alquiler de coches de Didi Kuaidi, similar a Uber. Para colmo, las versiones chinas de Angry Birds 2 también han sido infectadas, ¿es que ya no se respeta nada?
Apple emplea una gran cantidad de tiempo y esfuerzo en monitorizar cada una de las apps ubicadas en la Apple Store. Estos esfuerzos realmente la diferencian de Google Play y otras tiendas de aplicaciones móviles, que están completamente plagadas de software malicioso (al menos hasta que Google lanzó su sistema de escaneo de malware en 2014).
En este contexto, septiembre de 2015 parece haber sido bastante infructuoso para Apple, ya que los expertos encontraron malware dirigido a los dispositivos con Jailbreak, un ataque al que todo el mundo se refirió como el “mayor robo en el que se han visto envueltas las cuentas de Apple“, y ahora la compañía de seguridad informática Palo Alto Networks ha encontrado software comprometido en la App Store.
XcodeGhost #iOS Malware Contained: https://t.co/pBYDo6wMJI via @threatpost #apple pic.twitter.com/0DHpiHBMy8
— Kaspersky (@kaspersky) September 21, 2015
¿Qué es Xcode y a qué hace referencia en concreto XcodeGhost?
Xcode es un conjunto de herramientas gratuitas utilizadas por los desarrolladores de software para crear apps para iOS y Apple Store. Lo distribuye Apple oficialmente y otras compañías lo distribuyen de forma no oficial.
XcodeGhost es un software malicioso diseñado para afectar a Xcode y, por lo tanto, comprometer a ciertas apps creando herramientas infecciosas. Las aplicaciones infectadas roban los datos personales de los usuarios, enviándoselos a los hackers.
Más de 40 apps de la #AppStore parecen estar infectadas#Apple #malware
Tweet
¿Cómo han sido manipuladas las apps?
El software official de Apple, Xcode, no se ha visto comprometido, el problema se encuentra en la versión no oficial de la herramienta, que se encuentra subida al servicio de almacenaje en la nube llamado Baidu (que es una especie de Google chino). La descarga de las herramientas necesarias desde páginas web de terceros es una práctica muy popular en China, y como se ha visto en este caso, no se trata de un buen hábito.
Existe una razón por la cual los desarrolladores chinos escogen páginas web poco seguras y no oficiales en lugar de las oficiales. Internet es bastante lento en este país; además, el gobierno chino limita el acceso a los servidores extranjeros por tres vías. Ya que el tamaño del paquete de instalación de las herramientas Xcode es de unas 3,59 GB, la descarga desde los servidores de Apple tardaría demasiado tiempo.
https://twitter.com/panzer/status/645823037871292417
Por lo tanto, todo lo que tuvieron que hacer los hackers que están detrás de XcodeGhost fue infectar un paquete de herramientas no oficial con un malware inteligente e imperceptible y esperar a que los desarrolladores legítimos hagan todo el trabajo. Los investigadores de Palo Alto Networks determinaron que el paquete malicioso Xcode ha estado disponible durante seis meses y se ha descargado y utilizado para crear una gran cantidad de aplicaciones nuevas y actualizaciones de iOS. Después fueron introducidas de forma natural en la App Store y, de alguna forma, burlaron el sistema de escaneo antimalware de Apple.
Avoid submitting your app with a compromised version of Xcode by using the new `verify_xcode` fastlane action pic.twitter.com/732ubbvUmS
— Felix Krause (@KrauseFx) September 21, 2015
¿Qué es lo siguiente?
Apple ha confirmado recientemente a Reuters que todas las aplicaciones maliciosas que se conocen han sido eliminadas de la App Store y que la compañía trabaja actualmente con los desarrolladores para asegurarse de que utilicen la versión correcta de Xcode.
Apple Asks Developers To Verify Their Version Of Xcode Following Malware Attack On Chinese App Store http://t.co/OtBO21SGX6 by @sarahintampa
— TechCrunch (@TechCrunch) September 22, 2015
Desgraciadamente, esto no termina aquí. Todavía no se sabe a ciencia cierta el número de apps que han sido infectadas. Según Reuters, la empresa de seguridad Qihoo 360 Technology Co afirma haber descubierto 344 apps infectadas con XcodeGhost.
Este incidente puede significar el principio de una nueva era de cibercrímen en la que tanto los desarrolladores como las tiendas no oficiales y los usuarios habituales están en riesgo. Puede que otros criminales sigan las tácticas de los creadores de XcodeGhost. Además, el Instituto SANS declaró que el autor de XcodeGhost publicó el código fuente del malware en GitHub, por lo que está disponible de manera gratuita.
Casualmente, a principios de este año las herramientas de Xcode ya se hicieron eco en los medios. En ese caso fue por la “Jamboree”, una reunión anual secreta de investigadores de seguridad financiada por la CIA.
The CIA has waged a secret campaign to defeat security mechanisms built into Apple devices. http://t.co/a8kN5pHHtu pic.twitter.com/JpkTok0rx6
— The Intercept (@theintercept) March 10, 2015
Durante la reunión, algunos de los investigadores afirmaron haber creado una versión modificada del Xcode de Apple que podría saltarse la vigilancia de las puertas traseras e infiltrarse en las apps creadas mediante la herramienta.