Apple впервые сообщила о заражении приложений в App Store вирусами Статьи редакции

Компания Apple удалила вредоносные приложения из App Store после первой официально признанной масштабной атаки на сервис. Об этом сообщает Reuters.

Впервые об атаке стало известно ещё 17 сентября после жалоб пользователей китайского сервиса микроблогов Weibo. За ними последовали исследование компании Alibaba и отчёт об атаке от фирмы по информационной безопасности Palo Alto Networks.

Согласно данным Palo Alto Networks, изначально вирус распространился через модифицированную версию инструмента для разработки приложений для iOS — Xcode. Как объяснили исследователи, в Китае загрузка установочных файлов с сайтов Apple зачастую происходит медленно, поэтому разработчики размещают их на сторонних файлообменниках, а в случае с Xcode речь шла о дистрибутиве в 3 ГБ.

Злоумышленники модифицировали Xcode, добавив в него заражённый файл CoreServices, который содержит системные сервисы, использующиеся практически в любом iOS-приложении. При компиляции программ к ним добавлялся вредоносный код (исследователи назвали его XcodeGhost), позволяя собирать данные о пользователе.

При запуске приложений, созданных при помощи модифицированной версии Xcode, устройство отправляло злоумышленникам пакет данных о пользователе. В него входили название приложения, время, тип и уникальный идентификатор устройства, страна местонахождения и используемый язык интерфейса, а также тип подключения к интернету.

Помимо этого, XcodeGhost отображал поддельные уведомления от приложений (например, чтобы через фишинговые схемы заставить пользователя ввести свои данные), перехватывал процесс открытия сторонних ссылок, а также мог читать содержимое буфера обмена системы. Последнее позволяло злоумышленникам красть пароли пользователей, скопированные из сторонних менеджеров кодов доступа вроде 1Password.

Хотя приложения в App Store проходят процедуру верификации, в данном случае модераторы Apple не заметили попадания вредоносного кода в их систему. По мнению исследователей в Palo Alto Networks, по сравнению с другими вирусами, созданными для iOS, поведение XcodeGhost было не таким уж и подозрительным.

Тем не менее при помощи XcodeGhost удалось заразить более 39 приложений в App Store, включая популярный аналог Uber Didi Chuxing, единственное официальное в Китае приложение для покупки железнодорожных билетов Railway 12306, а также абонентский сервис крупнейшего китайского оператора China Unicom Mobile Office. Не все из них находились в китайской версии App Store: уязвимыми оказались популярный ридер визитных карточек CamCard, находящийся в американском магазине, и мессенджер WeChat, популярный и за пределами Китая.

Вечером в воскресенье 20 сентября представители Apple подтвердили информацию, опубликованную в исследованиях Palo Alto Networks, и сообщили об удалении из App Store приложений, созданных при помощи XcodeGhost. По мнению специалистов по безопасности из Palo Alto Networks, разработчикам следует всегда использовать только официальные дистрибутивы, скачанные напрямую с сайтов Apple.

Мы удалили приложения из App Store, созданные с помощью этого поддельного ПО. Мы сотрудничаем с разработчиками, чтобы убедиться, что они используют корректную версию Xcode для повторной сборки их приложений.

Apple

В Apple не сообщили точное количество приложений, подверженных XcodeGhost, и не уточнили, какие меры могут предпринять пользователи для обнаружения у себя вредоносного кода.

Хотя приложения из официального App Store оказались массово заражены впервые, это не первый случай распространения китайских вирусов через iOS. Например, в конце августа 2015 года в Palo Alto Networks рассказали, что распространённый через магазин приложений Cydia зловредный код мог «угнать» данные около 225 тысяч пользователей. В ноябре 2014 года похожим образом оказались заражены сотни тысяч пользователей, скачавшие приложения из нелегального магазина Maiyadi App Store.