Muitas empresas dos EUA ainda executam aplicativos da Apple infectados pelo XcodeGhost

Dezenas de empresas norte-americanas ainda usam aplicativos móveis da Apple com malware para um esquema de hackers revelado no mês passado, conhecido como XcodeGhost. detectou que 210 empresas que ainda estão usando aplicativos infectados, mostrando que o malware XcodeGhost “é um risco de segurança persistente”, segundo um post no blog.

No mês passado, mais de 4.000 aplicativos foram modificados com uma versão falsificada do Xcode, que é uma ferramenta de desenvolvimento de aplicativos da Apple

[Leitura adicional: Como remover malware do seu PC com Windows]

A versão mal-intencionada, apelidada de XcodeGhost, adiciona código oculto aos aplicativos, que pode coletar informações de identificação sobre um dispositivo ou até mesmo abrir URLs. Foi especulado que alguns desenvolvedores de aplicativos, a maioria baseados na China, poderiam ter baixado a versão desonesta do Xcode devido a problemas em obtê-lo diretamente da Apple. O serviço de compartilhamento de nuvem da Baidu já hospedou o Xcode modificado, mas foi posteriormente removido, de acordo com a Palo Alto Networks. O XcodeGhost era alarmante, pois os aplicativos infectados facilmente ignoravam as verificações da Apple destinadas a impedir que aplicativos maliciosos fossem oferecidos. sua App Store móvel. Isso foi um pouco embaraçoso para a Apple, que manteve um controle rígido sobre a loja para manter sua qualidade alta e riscos de segurança baixos. A Apple removeu os aplicativos infectados de sua App Store, e alguns foram posteriormente substituídos por versões não maliciosas.

Screenshot / Apple

A ferramenta Xcode da Apple é usada para criar aplicativos para os dispositivos da empresa.

Mas a última descoberta da FireEye mostra que muitos usuários podem não ter atualizado os aplicativos infectados em seus dispositivos com versões higienizadas.

os aplicativos maliciosos remanescentes nas empresas dos EUA ainda estão tentando entrar em contato com os servidores de comando e controle do XcodeGhost. Os aplicativos incluem versões mais antigas do aplicativo de mensagens WeChat da Tencent e um aplicativo de música chamado Music 163. Isso é perigoso, pois essas comunicações, que não são criptografadas, podem ser sequestradas por outros hackers e usadas para outros ataques.

Desde que o XcodeGhost foi descoberto, algumas empresas bloquearam o tráfego de rede e as consultas DNS que levam aos servidores de comando e controle do XcodeGhost.

Mas “até que esses funcionários atualizem seus dispositivos e aplicativos, eles ainda estarão vulneráveis ​​a possíveis seqüestros do XcodeGhost. CnC tráfego-particularmente quando fora de suas redes corporativas ", FireEye escreveu.

Sequestrar que o tráfego de dados pode permitir que um invasor mostre janelas pop-up inesperadas que solicitam dados confidenciais, forçar o dispositivo móvel a ir para uma URL ou distribuir um app não na loja da Apple

Surpreendentemente, a FireEye descobriu que 70% dos dispositivos móveis da Apple ainda afetados não foram atualizados para o iOS 9, o que é recomendado. Além disso, os usuários devem garantir que todos os seus aplicativos estejam atualizados, o que deve eliminar os aplicativos infectados de seus dispositivos.

Quem criou o XcodeGhost também desenvolveu uma nova versão que pode ter como alvo o iOS 9, chamado XcodeGhost S, FireEye

Essa atualização parece destinada a contornar uma defesa da Apple embutida no iOS 9 para garantir que a maioria das conexões com outros servidores seja criptografada. Ele também usa um método para tentar derrotar a detecção estática dos servidores de comando e controle com os quais se comunica, escreveu a FireEye.

A Apple removeu um aplicativo infectado pelo XcodeGhost S que se traduz livremente como “Free State”. para os viajantes que foi oferecido na App Store da Apple nos EUA e na China, disse a FireEye.