Individuate applicazioni infette nell’App Store

Gli esperti di sicurezza IT e i mass media lanciano di nuovo l’allarme: ignoti malintenzionati sono riusciti ad introdurre codice nocivo nello store ufficiale di Apple. Per il momento, nell’App Store sono state individuate circa 40 popolari applicazioni create con l’utilizzo di un particolare codice dannoso, denominato XcodeGhost dai ricercatori di Alibaba. Secondo il New York Times, Apple ha confermato che i virus writer hanno copiato e successivamente modificato Xcode, il noto strumento IDE (Integrated Development Environment) sviluppato dalla casa di Cupertino. Il “repack” malevolo è stato poi caricato sul servizio di file sharing implementato nel cloud da Baidu, utilizzato da vari sviluppatori cinesi di prodotti per iOS e OS X.

L’elenco dei programmi iOS infetti, disponibili sull’App Store, comprende, principalmente, diverse applicazioni particolarmente popolari in Cina, sebbene alcune di esse siano di fatto utilizzate in tutto il mondo, come, ad esempio, l’app di messaggistica istantanea WeChat, complessivamente installata da circa 500 milioni di utenti, o CamCard, lo scanner professionale per i biglietti da visita. Christine Monaghan, esponente di Apple, nel commentare l’incidente sopra descritto ha dichiarato che la versione fasulla di Xcode “è stata diffusa da fonti non attendibili”. “Per proteggere i nostri clienti, abbiamo rimosso dall’App Store quelle applicazioni che, secondo le informazioni in nostro possesso, erano state create mediante l’utilizzo del software compromesso”, ha aggiunto la rappresentante di Apple.

L’analisi condotta dai ricercatori di Palo Alto Networks ha confermato che il “colpevole” di quanto avvenuto è un file dannoso Mach-O, introdotto in alcune versioni del loader di Xcode. È interessante rilevare come in tal caso gli attacker non abbiano violato alcun prodotto software di Apple. Essi hanno semplicemente sfruttato il fatto che gli sviluppatori cinesi preferiscono utilizzare copie di Xcode custodite su server locali, visto che l’operazione di upload può essere effettuata con maggiore rapidità. Hanno potuto tuttavia caricare la falsa (e pericolosa) versione del software solo gli sviluppatori che, in precedenza, avevano disattivato la protezione fornita da Apple: quest’ultima, in effetti, avrebbe di sicuro notificato all’utente la presenza di codice sospetto.

Nel corso dei test eseguiti, il malware iOS ha evidenziato, di per se stesso, la funzionalità principale di cui è provvisto: la raccolta di informazioni sul dispositivo infetto, ed il successivo invio delle stesse al centro di comando allestito dai malfattori. Inoltre, dietro specifico ordine impartito dal server C&C, esso è in grado di far comparire sullo schermo del dispositivo un’apposita finestra di dialogo per il phishing, sostituire l’URL aperto, persino leggere e registrare i dati presenti nella clipboard. I ricercatori non hanno mancato di segnalare che gli attacchi XcodeGhost riguardano esclusivamente le versioni più recenti delle applicazioni iOS, ovvero quelle che, di fatto, potrebbero essere state create mediante l’utilizzo della versione contraffatta di Xcode.

Non è ancora noto, per il momento, il numero complessivo degli utenti che potrebbero aver effettuato il download dei programmi infetti. Dopo aver ricevuto le opportune segnalazioni da parte di Palo Alto Networks, Baidu ha subito rimosso dal cloud le copie dannose di Xcode. Da parte sua, Tencent ha comunicato di aver eliminato il problema relativo all’app WeChat. Le prime verifiche non hanno evidenziato né il furto, né possibili fughe di dati a danno degli utenti; si raccomanda tuttavia, agli utilizzatori di WeChat, di installare la versione 6.2.6 o superiore. Sono stati ugualmente individuati e bloccati numerosi server impiegati dai cybercriminali per lo stoccaggio dei dati sottratti. Gli esperti di sicurezza IT di Apple, Alibaba e Palo Alto, così come gli sviluppatori del software, stanno attualmente cercando di valutare l’entità dei possibili danni.

Fonte: The New York Times

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *