Quaranta app presenti su Apple Store potrebbero essere infette

Una regolare copia di Angry Birds 2 potrebbe contenere un malware che ruba i dati degli utenti. Come è possibile?

xcodeghost

Un bruco si è insinuato nel giardino segreto di Apple. Circa 40 app iOS sono state eliminate dall’App Store perché sembrano contenere un codice dannoso, che servirebbe a costruire una botnet di dispositivi Apple.

Il malware XcodeGhost ha colpito decine di app, tra cui WeChat (oltre 600 milioni di utenti), l’app per il download di musica NetEase, il lettore di biglietti da visita CamCard, e un’app simile a Uber che si chiama Didi Kuaidi. Per peggiorare la situazione, è stata infettata anche la versione cinese di Angry Birds 2: nessuno è a salvo.

Apple impiega tempo e risorse per controllare ogni app presente sull’Apple Store e tali sforzi fanno la differenza rispetto a Google Play o ad altri store che sono pieni zeppi di software dannosi (per lo meno nel 2014 Google ha lanciato un proprio sistema di analisi di malware).

Il 2015 è stato un anno sfortunato per Apple: gli esperti di sicurezza hanno individuato un malware che colpisce i dispositivi su cui è stato eseguito il jailbreak; si è parlato del “più grande furto di dati che ha coinvolto gli account Apple” e ora l’azienda Palo Alto Networks ha individuato software infetti sull’Apple store.

Cosa sono Xcode e XcodeGhost?

Xcode è un pacchetto gratuito utilizzato dagli sviluppatori per creare app dedicate a iOS e Apple Store. Viene distribuito ufficialmente da Apple e in maniera non ufficiale da terze parti.

XcodeGhost è un software dannoso progettato per colpire Xcode e, di conseguenza, per compromettere le app create con i tool infetti. Le app interessate dal malware rubano i dati privati degli utenti, che poi sono inviate agli hacker.

In che modo il malware colpisce le app?

L’Xcode ufficiale di Apple non è coinvolto, il problema interessa la versione non ufficiale del tool, caricata sui servizi cloud di Baidu (il Google cinese). È pratica comune in Cina quella di scaricare tool da siti di terze parti; in questo caso, si è trattato di una pessima decisione.

C’è un motivo per cui gli sviluppatori cinesi optano per siti non ufficiali e poco sicuri invece di utilizzare risorse ufficiali. In Cina Internet è piuttosto lento; inoltre, il governo cinese limita l’accesso ai server stranieri a tre gateway. Il pacchetto d’installazione di Xcode pesa circa 3,59 GB e per scaricarlo dai server Apple ci vorrebbe davvero troppo tempo.

https://twitter.com/panzer/status/645823037871292417

Chi c’è dietro a XcodeGhost non ha fatto altro che infettare un tool pack non ufficiale con un malware insidioso, in grado di passare inosservato; il resto del lavoro è stato fatto inconsapevolmente dagli sviluppatori di app legittime. I ricercatori di Palo Alto Networks hanno determinato che il pack Xcode dannoso è rimasto disponibile per sei mesi, è stato scaricato e utilizzato per creare sia nuove app per iOS sia per aggiornare alcune già esistenti. Sono state poi caricate sullo store e in qualche modo sono riuscite a bypassare il sistema di scansione anti-malware di Apple.

E ora?

Di recente Apple ha confermato a Reuters la rimozione dallo store di tutte le app dannose; inoltre, l’azienda sta collaborando con gli sviluppatori per assicurarsi che stiano utilizzando la versione corretta di Xcode.

Purtroppo non finisce qui. Non è ancora chiaro quante app siano state effettivamente colpite. Su Reuters si legge che l’azienda di sicurezza cinese Qihoo360 Technology Co avebbe individuato 344 app interessate da XcodeGhost.

Questo episodio potrebbe rappresentare una svolta nel mondo del cybercrimine: gli sviluppatori sarebbero a rischio sugli store non ufficiali come qualsiasi utente comune. Altri cybercriminali potrebbero impiegare la stessa tattica dei creatori di XcodeGhost; inoltre, SANS Institute afferma che gli autori di XcodeGhost hanno pubblicato il codice sorgente si GitHub, ora disponibile gratuitamente.

All’inizio di quest’anno i tool di Xcode avevano già attirato l’attenzione dei media, in occasione del “Jamboree”, una riunione segreta di ricercatori di sicurezza che si svolge ogni anno sponsorizzata dalla CIA.

Durante il meeting alcuni ricercatori hanno annunciato la creazione di una versione modificata di Xcode della Apple, che consentirebbe di eludere la sorveglianza delle backdoor delle app create con questo tool.

Consigli