XcodeGhost malware besmet populaire iOS-apps

XcodeGhost is nieuwe malware voor iOS, die zich via de Xcode-programmeertools van Apple verspreid. De relatief onschuldige malware treft vooral Chinese apps en gebruikers in China.
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

malware iphoneTientallen iPhone- en iPad-apps blijken te zijn getroffen door nieuwe XcodeGhost malware, waaronder populaire apps zoals WeChat. Gelukkig is de kans klein dat je ermee te maken krijgt, want de meeste apps richten zich vooral op Chinese gebruikers. XcodeGhost verzamelt informatie op je toestel en stuurt dit door naar een server. Eigenlijk is er dus niet zoveel verschil met gratis games, die ook zoveel mogelijk informatie over je proberen te verzamelen. Het verschil is dat makers van gratis games bewust allerlei informatie over jou verzamelen, terwijl apps die met XcodeGhost zijn besmet het zonder medeweten van de ontwikkelaar doen.


Update 21 september: inmiddels heeft Apple honderden met XcodeGhost besmette apps uit de App Store gehaald.

Bekijk ook

Apple verwijdert honderden apps na grootste malware-probleem ooit (update)

Apple heeft honderden besmette apps uit de App Store gehaald, die met de XcodeGhost malware waren besmet. Het gaat om de grootste malware-aanval ooit.

XcodeGhost: wat is het?

Het bijzondere van XcodeGhost, is dat er geen misbruik wordt gemaakt van een kwetsbaarheid van iOS. In plaats daarvan is de kwaadaardige code opgenomen in Xcode, het officiële tool waarmee je iOS- en OS X-apps kunt ontwikkelen. Chinese ontwikkelaars downloaden deze aangepaste versie van Xcode van alternatieve sites, buiten Apple om. Daardoor kan Apple er in eerste instantie weinig aan doen. Als de ontwikkelaars gewoon via de officiële Apple-site Xcode hadden gedownload, hadden ze geen last van de besmetting gehad. Apple keurt de apps vervolgens goed en zet ze in de App Store. De aangepaste versies van Xcode zijn onder andere te vinden bij Baidu, de populaire Chinese site.

Chinese ontwikkelaars downloaden Xcode van alternatieve sites, vanwege de trage downloadsnelheid in China. “Soms zijn de netwerksnelheden erg traag als je grote bestanden moet downloaden van de Apple-servers”, zegt Palo Alto Networks, het beveiligingsbedrijf dat het XcodeGhost-probleem uitgebreid heeft onderzocht. “Omdat de standaard Xcode-installatiebestanden bijna 3GB groot zijn, downloaden sommige Chinese ontwikkelaars het pakket uit andere bronnen of krijgen het van collega’s”.

CIA-spionage

Helemaal ongekend is deze vorm van malware niet. Eerder dit jaar bleek dat ook de CIA een alternatieve versie van Xcode had gemaakt, om op deze manier kwaadwillende code in apps te verbergen. Apps gemaakt met deze CIA-versie zouden zich lenen voor bijvoorbeeld spionage.

Kan XcodeGhost kwaad?

XcodeGhost probeert allerlei informatie over de gebruiker te verzamelen, zoals huidige tijdtip, apparaatnaam en -type, taal en landinstellingen, het unieke UUID-nummer van het toestel en het netwerktype. De malware leek in eerste instantie vrij onschuldig. Het probeerde zoveel mogelijk data over gebruikers te verzamelen, zoals veel gratis games ook doen. In een update legt Palo Alto Networks uit dat XcodeGhost ook kwaadaardiger acties kan uitvoeren. De code kan commando’s van een aanvaller ontvangen en bijvoorbeeld een pop-up tonen, om inloggegevens van gebruikers te achterhalen (phishing). Palo Alto Networks concludeert daarom:

Based on this new information, we believe XcodeGhost is a very harmful and dangerous malware…

Volgens een ontwikkelaar heeft XcodeGhost al geprobeerd om achter iCloud-wachtwoorden van gebruikers te komen.

Een lijst met andere apps die getroffen zijn, vind je in ons artikel over het verwijderen van de apps door Apple. Daaruit blijkt dat het veelal om onbekende apps gaat, met als bekendste namen Angry Birds 2 en WeChat. WeChat heeft inmiddels een update uitgebracht, zonder geïnfecteerde code.
Het aantal malware-gevallen in de App Store is relatief weinig, vergeleken met Android. Eerdere malware die wél tot de App Store is doorgedrongen staat bekend onder namen als LBTM, InstaStock, FindAndCall, Jekyll en FakeTor.

Informatie

Laatst bijgewerkt
21 september 2015 om 14:20
Onderwerp
Categorie
Achtergrond

Reacties: 18 reacties

Reacties zijn gesloten voor dit artikel.