Более 40 приложений в App Store заражены вирусом

Ваша легальная копия Angry Birds 2 для iOS может включать небольшой довесок в виде вируса. Как такое возможно?

В защищенном Эдеме Apple завелся червь: из App Store удаляют около 40 приложений, зараженных вирусом. В частности, зловредом XcodeGhost заражены такие приложения, как WeChat (а у этой программы более 600 млн подписчиков по всему миру), приложение для скачивания музыки от NetEase, считыватель визиток CamCard, аналог Uber от Didi Kuaidi… и даже китайская версия Angry Birds 2.

xcodeghost-FB

Apple тратит много средств и времени, чтобы изучить каждое приложение, попадающее в Apple Store. Долгое время это окупалось, выгодно отличая магазин компании от Google Play и сторонних ресурсов, которые были буквально переполнены вредоносным ПО (по крайней мере, пока Google не запустила свою собственную систему проверки файлов на наличие вирусов в 2014 году).

В этом контексте сентябрь 2015 года был особенно неудачным для Apple: в начале месяца специалисты обнаружили вирус, поражающий взломанные iOS-устройства, и все заговорили о «самом большом воровстве Apple-аккаунтов в истории», а теперь компания Palo Alto Networks сообщила о зараженных приложениях уже в самом App Store.

Кстати, что такое Xcode, а что — XcodeGhost?

Xcode — это бесплатный пакет инструментов для разработчиков, занимающихся созданием приложений для iOS и OS X. Официально его можно скачать с сайта Apple, а неофициально — еще с кучи сторонних веб-сайтов.

XcodeGhost — это вредоносное ПО, разработанное специально, чтобы заражать инструменты Xcode, а следом и созданные с его помощью приложения. Инфицированные приложения помимо основной функции начинают воровать данные пользователей и отправлять их на удаленный сервер к хакерам.

Как хакеры умудрились скомпрометировать приложения?

Официальный пакет инструментов Xcode от Apple не был взломан; виной всему неофициальная версия инструментов с облачного хранилища в Baidu (это что-то вроде китайского Google). На самом деле в Китае довольно часто скачивают необходимые инструменты со сторонних сайтов, что хакеры и использовали в своих целях.

Надо сказать, что разработчики в Китае скачивают инструменты из неофициальных и, соответственно, ненадежных источников не без причины. В стране не слишком быстрый Интернет; более того, китайское правительство ограничивает доступ к иностранным серверам всего тремя шлюзами. Установочный пакет инструментов Xcode весит 3,59 Гб, и в таких условиях с сайта Apple он может скачиваться очень долго.

Так что злоумышленникам нужно было только загрузить хитроумно зараженный пакет инструментов на сервер и позволить официальным разработчикам сделать всю работу. Исследователи Palo Alto Networks отмечают, что инфицированный набор инструментов Xcode находился в открытом доступе около шести месяцев. За это время его множество раз скачали и использовали для создания новых приложений и обновленных версий старых программ. Инфицированные приложения, конечно же, были отправлены разработчиками в App Store и каким-то образом успешно прошли систему сканирования файлов на наличие вирусов, используемую Apple.

Что дальше?

Недавно Apple подтвердила газете Reuters, что все известные ей скомпрометированные приложения были удалены из App Store и теперь компания работает с разработчиками ПО для iOS и проверяет, что они используют официальную версию Xcode.

К сожалению, на этом наши проблемы не заканчиваются. Все еще неясно, сколько приложений пострадало от вируса. Например, в Reuters отмечают, что китайская компания Qihoo360 Technology Co. утверждает, что ее специалисты по безопасности обнаружили 344 приложения, зараженных XcodeGhost.

Этот инцидент может стать новой вехой в развитии киберпреступлений, в которой разработчики попадут под удар наравне с неофициальными магазинами и обычными пользователями. Другие преступники могут начать копировать тактику автора XcodeGhost. Более того, институт SANS недавно сообщил, что автор XcodeGhost опубликовал исходный код зловреда на GitHub в открытом доступе.

Так совпало, что ранее в этом году инструменты Xcode уже становились предметом обсуждения. В тот раз это произошло из-за Jamboree, секретного ежегодного слета специалистов по безопасности, который спонсирует ЦРУ.

На этой встрече неназванные исследователи безопасности сообщили, что им удалось создать модифицированную версию Apple Xcode, способную встроить шпионский бэкдор в любое приложение или программу, созданные с помощью этих инструментов.

Советы