米国の有名なセキュリティ会社Palo Alto Networksの研究者は、App Storeで多くの悪意のあるアプリケーションが発見さ
れたことを
報告しました。 このアプリストアはAppleによって管理されており、iOS向けの最も信頼性が高く安全なアプリ配信センターとして知られています。 悪意のあるアプリケーションを入手することの特異性は、不正なXcodeツールによってコンパイルされたことです。 Xcode自体は、すべての開発者が使用するiOSアプリケーション開発環境です。
偽のXcodeによってコンパイルされたアプリケーションはXcodeGhostと呼ばれ、最新のデータによると、その数は数千であり、現時点ではまだ1,000以上がApp Storeにあります。 ESETウイルス対策製品は、XcodeGhostマルウェアを
iOS / XcodeGhostとして検出します(F-Secure:
バックドア:iPhoneOS / XCodeGhost.A 、ソフォス:
iPh / XcdGhost-A 、シマンテック:
OSX.Codgost )。
偽のXcodeは、このツールを最初に使用したのは中国の開発者であり、Apple開発者ポータルからダウンロードするのではなく、急流やその他の信頼できない「場所」に頼ることにしたためです。 コンパイルされた正当なアプリケーションへの悪意のあるコードの導入は、ビルド段階で実行されました。リンカーは、アプリケーションのオブジェクトコードを悪意のあるオブジェクトコードに関連付けたため、開発者にとっては完全に正当に見えますが、実際には既に悪意のあるアプリケーションになりました。 結果のアプリケーションは、開発者のデジタル証明書で署名され、正当なものとしてApp Storeに配置されました。
悪意のあるコードはXcodeGhostです。つまり、リンカが正当なアプリケーションに注入したものは、デバイスに対して破壊的な機能を実行せず、単にデバイスに関する統計を収集し、暗号化された形式で攻撃者のC&Cサーバーに送信します。 正当なアプリケーションにデータが追加された悪意のあるオブジェクトファイルはCoreServicesと呼ばれ、Xcodeフレームワークのいずれかのディレクトリに配置されていました。
侵害されたXcode開発フレームワークに次のファイルが追加されました。
図 プログラムを悪意のあるコード(Palo Alto Networksのデータ)と正常にリンクするために必要なXcode環境に追加されたファイル。
XcodeGhostは、システムに関する情報の収集のみを専門としています。
図 収集されたXcodeGhostシステム情報(Palo Alto Networksデータ)。
- データが受信された時点の現在の時刻。
- アプリケーションの名前はXcodeGhostです。
- XcodeGhostアプリケーションのバンドルID。
- デバイスのタイプと名前。
- 現在の国と言語。
- 現在のUUID。
- ネットワークのタイプ。
AppleはすでにApp Storeの悪意のあるアプリケーションからの駆除を開始しており、その中にはユーザーの間で
人気のあるインスタンスが
ありました 。
XcodeGhostは、最も安全なOSの1つであるApple iOSに感染した最初の大規模なマルウェアまたはテクノロジーになりました。 XcodeGhost以前は、iOS向けのマルウェアの数はほとんど10でなく、すべてがジェイルブレイクを備えたデバイス向けに設計されていました。誰もがApp Storeでそれらを配布できることは言うまでもありません。 このモバイルOSの最新バージョンの高いセキュリティレベル(DEP / ASLR、サンドボックス、ルートレス、コード署名、セキュアブートチェーン、App Storeへのバインド)により、さまざまな種類のエクスプロイトやマルウェアに対してほぼ完全に侵入することができませんでした。