Varias aplicaciones de la tienda de Apple podrían estar comprometidas por el código malicioso XcodeGhost. Foto: Computerworld / IDG

Varias aplicaciones de la tienda de Apple podrían estar comprometidas por el código malicioso XcodeGhost. Foto: Computerworld / IDG

Descrición
¿Te sirvió esta noticia?:
Si (2)
No (2)

Malware

Miles de ‘apps’ de Apple estarían infectadas por XcodeGhost

Computerworld / IDG

Varios desarrolladores de aplicaciones de iOS, sin saberlo, utilizaron una versión maligna de la herramienta de desarrollo Xcode, conocida ahora como XcodeGhost. El impacto de este uso resultó ser mayor de lo pensado inicialmente: los primeros informes enumeraban sólo 39 aplicaciones que se habían 'troyanizado' con la herramienta, pero los investigadores de seguridad han identificado miles de aplicaciones más.

El viernes 18 de septiembre de 2015, la firma de investigación de seguridad de Palo Alto Networks informó que 39 aplicaciones que se encuentran en la App Store habían sido comprometidas después de que sus desarrolladores - la mayoría de ellos ubicados en China - utilizaron una versión maligna de Xcode que se había distribuido en diferentes foros. Xcode es una herramienta de desarrollo para aplicaciones de iOS y OS X proporcionadas por Apple.

La versión maliciosa de Xcode (bautizada XcodeGhost por los investigadores de seguridad) agrega una funcionalidad oculta a cualquier aplicación compilada con este código. Estas aplicaciones fueron subidas a la App Store oficial por los desarrolladores, sin que ellos conozcan que estaban subiendo aplicaciones infectadas y logrando sobrepasar una de las principales defensas de malware del ecosistema iOS.


El martes, la empresa de seguridad móvil Appthority informó de que había encontrado 476 aplicaciones infectadas por XcodeGhost entre los utilizados por sus clientes empresariales.

"Tuvimos un vistazo más de cerca a los datos y pudimos seguir el inicio de la infección hasta abril de 2015, con un alza significativa en las infecciones durante este último mes de septiembre", dijo el equipo de investigación de la compañía en una entrada de blog.

El código oculto añadido por XcodeGhost a ciertas aplicaciones recoge la información de identificación de los dispositivos que están instaladas dichas 'apps' y puede abrir direcciones URL. Los creadores de la herramienta maligna podrían haber añadido funcionalidades más dañinas, pero al parecer han decidido no hacerlo. Al menos no por ahora.

"Teniendo en cuenta los resultados de análisis de riesgo de aplicaciones infectadas con respecto a su comportamiento real, sentimos que 'adware' podría ser una clasificación más apropiada para esta infección en lugar de la maliciosa clasificación de ‘malware’" indicaron los investigadores de Appthority.

También el martes 22 de septiembre, investigadores de la empresa de seguridad FireEye revelaron que el número real de aplicaciones iOS troyanizado por XcodeGhost no está en las decenas o cientos, sino miles. La compañía ha identificado más de 4 000 aplicaciones infectadas hasta ahora en la App Store.

Si bien los servidores de comando y control utilizados por XcodeGhost han sido derribados, las aplicaciones maliciosas todavía tratan de conectarse a ellos mediante conexiones HTTP no encriptadas, y estas sesiones HTTP son vulnerables al secuestro por otros atacantes, dijeron los investigadores de FireEye.

Y ya que las empresas de seguridad aún siguen identificando más y más ‘apps’ infectadas, es difícil para los usuarios hacer un seguimiento de forma manual o incluso depender de un solo producto para detectarlas. Todo lo que pueden hacer es esperar que Apple esté trabajando en la remoción de las aplicaciones maliciosas de la App Store y que notifique a los usuarios cuando lo haga.