21-09-2015, 18:14
Na gebruik van een kwaadaardige Xcode-versie hebben ontwikkelaars besmette apps in Apples App Store geplaatst die systeemgegevens stelen. De aanval trof potentieel miljoenen Chinese gebruikers, maar ook apps die buiten China gebruikt worden, waren besmet.
Beveiligingsbedrijf Palo Alto Networks plaatste afgelopen week een analyse van XcodeGhost op zijn website, nadat Chinese deskundigen vorige week waarschuwden voor de malware. Apple heeft de aanval bevestigd en tegen Reuters verklaard de besmette apps verwijderd te hebben uit de App Store en met ontwikkelaars samen te werken om te zorgen dat ze de correcte Xcode-versie gebruiken.
Aanvallers wisten de kwaadaardige XcodeGhost-malware te verspreiden via een aangepaste versie van de Xcode-ide, die te downloaden was via de downloaddienst van Baidu. Aan die versie, die verscheen met versienummers van 6.1 tot 6.4, was een CoreServices-component toegevoegd: een mach-o bestand die door de lvm compiler gebruikt wordt. Omdat ontwikkelaars soms sneller via Baidu kunnen downloaden dan via Apples servers, kiezen sommigen ervoor via deze onofficiële weg de Xcode-code te downloaden. Vervolgens compileerden ze hun apps met de aangepaste Xcode-versie en plaatsten deze in de App Store, waarbij de alarmbellen bij de controle blijkbaar niet afgingen.
In samenwerking met Fox-IT heeft Palo Alto Networks meer dan 50 apps geïdentificeerd die besmet waren. Daaronder waren apps voor instant messaging, internetbankieren, handelen in aandelen, navigatie en gaming. Sommige apps waren bijzonder populair in China, zoals chatapp WeChat, die honderden miljoenen gebruikers heeft. Ook apps die buiten China populair waren, zoals CamCard en WinZip werden getroffen. De beide bedrijven hebben een lijst van getroffen apps gepubliceerd.
De met de malware besmette iOS-apps onderscheppen systeeminformatie als de taalinstelling, naam en uuid van iPhones en iPads en het netwerktype. De gegevens werden via command-&-control-servers van de criminelen verstuurd. Vervolgens konden de kwaadwillenden notificaties naar smartphones en tablets sturen om gebruikersgegevens te stelen, url's te kapen en het clipboard van de gebruikers uit te lezen.
Ontwikkelaars wordt aangeraden Xcode 7 of Xcode 7.1 beta van Apples site te downloaden en gebruikers dienen de apps van de betreffende lijst de de-installeren en hun wachtwoorden een reset te geven.
Update, 13.55: De servers van Palo Alto Networks zijn op moment van schrijven down, maar de lijst met besmette apps is hier te vinden.
Beveiligingsbedrijf Palo Alto Networks plaatste afgelopen week een analyse van XcodeGhost op zijn website, nadat Chinese deskundigen vorige week waarschuwden voor de malware. Apple heeft de aanval bevestigd en tegen Reuters verklaard de besmette apps verwijderd te hebben uit de App Store en met ontwikkelaars samen te werken om te zorgen dat ze de correcte Xcode-versie gebruiken.
Aanvallers wisten de kwaadaardige XcodeGhost-malware te verspreiden via een aangepaste versie van de Xcode-ide, die te downloaden was via de downloaddienst van Baidu. Aan die versie, die verscheen met versienummers van 6.1 tot 6.4, was een CoreServices-component toegevoegd: een mach-o bestand die door de lvm compiler gebruikt wordt. Omdat ontwikkelaars soms sneller via Baidu kunnen downloaden dan via Apples servers, kiezen sommigen ervoor via deze onofficiële weg de Xcode-code te downloaden. Vervolgens compileerden ze hun apps met de aangepaste Xcode-versie en plaatsten deze in de App Store, waarbij de alarmbellen bij de controle blijkbaar niet afgingen.
In samenwerking met Fox-IT heeft Palo Alto Networks meer dan 50 apps geïdentificeerd die besmet waren. Daaronder waren apps voor instant messaging, internetbankieren, handelen in aandelen, navigatie en gaming. Sommige apps waren bijzonder populair in China, zoals chatapp WeChat, die honderden miljoenen gebruikers heeft. Ook apps die buiten China populair waren, zoals CamCard en WinZip werden getroffen. De beide bedrijven hebben een lijst van getroffen apps gepubliceerd.
De met de malware besmette iOS-apps onderscheppen systeeminformatie als de taalinstelling, naam en uuid van iPhones en iPads en het netwerktype. De gegevens werden via command-&-control-servers van de criminelen verstuurd. Vervolgens konden de kwaadwillenden notificaties naar smartphones en tablets sturen om gebruikersgegevens te stelen, url's te kapen en het clipboard van de gebruikers uit te lezen.
Ontwikkelaars wordt aangeraden Xcode 7 of Xcode 7.1 beta van Apples site te downloaden en gebruikers dienen de apps van de betreffende lijst de de-installeren en hun wachtwoorden een reset te geven.
Update, 13.55: De servers van Palo Alto Networks zijn op moment van schrijven down, maar de lijst met besmette apps is hier te vinden.