Фальшивый Xcode получил название XcodeGhost и, по словам представителей фирмы Palo Alto Networks, был загружен в сеть через некий китайский сервер, так что следы атаки уводят в Поднебесную.
Исследователи объясняют, что в Китае скорость закачки с серверов Apple очень низкая, поэтому девелоперы часто обращаются к локальным ресурсам. Этим и воспользовались атакующие, распространив в китайском сегменте интернета собственную, фейковую версию Xcode, на глаз неотличимую от настоящей.
Созданные с использованием XcodeGhost приложения получились крайне опасными. Фальшивый инструмент для разработчиков внедрил в легальные и безвредные программы возможность инициировать фишинговые запросы, возможность открывать URL, читать и записывать данные из буфера обмена и другие неприятные трюки. Также зараженное приложение собирает данные об устройстве: номер телефона, UUID, сведения о языке и стране использования, дату, время и так далее.
Хотя, по данным экспертов, XcodeGhost не успел развить фактической вредоносной активности, то есть пользователи пострадать не успели, это все равно очень тревожный сигнал. Подобный вектор атак, когда орудием злоумышленников становятся легитимные приложения, уже прошедшие все проверки App Store, может стать крупной проблемой. Напомню, что подобную технику для проникновения в официальный магазин приложений также разработало ЦРУ.
Точный масштаб проблемы не совсем ясен. Так, китайская фирма Qihoo360 Technology Co заявляет, что в App Store было обнаружено 344 вредоносных приложения, созданных с помощью XcodeGhost. В то же время представители Palo Alto Networks пишут лишь о 39 таких приложениях. Как бы то ни было, Apple все выходные занималась экстренной очисткой официального магазина.
В числе пострадавших приложений, предсказуемо, оказались в основном популярные в Китае приложения, сильно пострадал именно местный сегмент App Store. Использование XcodeGhost было подтверждено в месенджере WeChat (600 млн активных пользователей в месяц), сканере визиток CamCard и китайском конкуренте Uber — Didi Chuxing.
«Мы удалили из App Store все приложения, созданные при помощи данного поддельного инструмента, — сообщила Reuters представитель Apple Кристин Монаган (Christine Monaghan). — Сейчас мы проводим разъяснительную работу с девелоперами, чтобы убедиться, что они используют настоящую версию Xcode для создания своих программ».