XcodeGhost-Analysis

Na semana passada, falamos no blog sobre o XcodeGhost, uma suposta versão comprimida do Xcode que é, na realidade, um malware que conseguiu se alojar na Apple App Store, injetando códigos maliciosos em aplicativos desenvolvidos por esse código, inclusive em alguns relativamente populares.

O problema é que o número de aplicativos afetados seria muito maior do que o estimado inicialmente pelos especialistas. Quando o assunto foi revelado, aproximadamente 40 apps foram relatados como infectados, mas a empresa de segurança Appthority informa que identificaram 476 apps com XcodeGhost.

O XcodeGhost iniciou as suas ações no mês de abril, aumentando de forma notável a sua presença nos cinco meses posteriores. Mas o mais surpreendente é ver a grande quantidade de aplicativos que tiveram as restrições da Apple burladas ao longo desse período. Para piorar, os pesquisadores da FireEye vão além de qualquer estimativa, relatando que mais de 4 mil aplicativos do iOS estão infectados pela ameaça.

Mas nem tudo são más notícias. Os pesquisadores da Appthority não encontraram evidências que os aplicativos infectados pelo XcodeGhost conseguiram enganar os usuários para pegar seus dados no ecossistema da Apple ou em outros serviços, tendo os aplicativos analisados as seguintes capacidades:

1. Envia petições a um servidor (utilizando um temporizador de intervalo fixo entre as petições).
2. A petição contém todos os tipos de identificadores do dispositivo.
3. A resposta pode disparar ações como: mostrar um item da App Store dentro dos aplicativos, UIAlertView para a App Store (dependendo do botão pressionado), abrir uma URL, ou paralisar o sistema por um tempo determinado.

Ou seja, a única maneira de um aplicativo afetado pelo XcodeGhost ficar com as credenciais de um usuário é redirecionando o mesmo para um site malicioso. Por outro lado, a Apple não encontrou evidências de que algum aplicativo foi utilizado com fins maliciosos, dando a entender que estes eram menos perigosos do que o esperado.

Mesmo assim, está mais que provado que a App Store não era tão inviolável assim…

Via ArsTechnica