Um corpo estranho foi encontrado no “blindado” mundo da Apple. Mais ou menos 40 aplicativos do iOS estão sendo retirados da Apple Store por possuírem códigos suspeitos, projetados para construir uma botnet com os dispositivos da Apple.
O malware XcodeGhost afetou dezenas de aplicativos, incluindo o WeChatt app (com mais de 600 milhões de usuários), o aplicativo de download de músicas da NetEase, o scanner de cartões de visitas CamCard e o Didi Kuaidi, aplicativo parecido com o Uber. Para aumentar a dimensão do ataque, a versão chinesa do Angry Birds 2 também foi infectada. Mas será possível que não estamos protegidos em nenhum lugar?
A Apple investe muito tempo e dinheiro em monitorar cada aplicativo aceito na Apple Store. Essa preocupação diferencia a Apple Store da Google Play e das outras lojas de aplicativos que são constantemente afetadas por malwares (até o Google lançou seu próprio verificador de malwares em 2014).
Mas este mês de setembro não tem sido nada fácil para a empresa, pois os especialistas encontraram malwares que atacavam especificamente dispositivos desbloqueados – jailbroken – fato que foi considerado a “maior ameaça envolvendo contas da Apple” e agora a empresa de segurança de Palo Alto Networks encontrou apps comprometidos na Apple Store.
XcodeGhost #iOS Malware Contained: https://t.co/pBYDo6wMJI via @threatpost #apple pic.twitter.com/0DHpiHBMy8
— Kaspersky (@kaspersky) September 21, 2015
O que é Xcode? E XcodeGhost?
Xcode é um conjunto gratuito de ferramentas utilizadas por desenvolvedores de software para criar aplicativos para iOS. É oficialmente distribuído pela Apple e “não oficialmente” por terceiros.
Já o Xcode Ghost é um software malicioso, projetado para afetar o Xcode e a partir daí comprometer aplicativos criados com as ferramentas infectadas. Os aplicativos então roubam dados dos usuários e os enviam para os hackers.
Pelo menos 40 apps na #AppStore foram infectados por malware
Tweet
Como os aplicativos foram afetados?
O Xcode oficialmente distribuído pela Apple não foi comprometido. O problema ocorreu com as versões piratas do programa enviadas pelo Baidu (um motor de busca chinês). É uma prática comum na China baixar programas necessários de sites paralelos, o que dessa vez se mostrou como um péssimo hábito.
Existe uma razão por trás da escolha dos desenvolvedores chineses por sites piratas e potencialmente perigosos, ao invés de fontes seguras e oficiais. A internet chinesa tende a ser lenta, e por conta disso, o governo chinês limita o acesso aos servidores estrangeiros em apenas três portais. Como o pacote de instalação do XCode tem 3.59GB, baixá-lo dos servidores da Apple levariam um bom tempo.
https://twitter.com/panzer/status/645823037871292417
Diante disso, os hackers responsáveis pelo XCodeGhost só precisavam infectar uma dessas versões piratas com um malware versátil e imperceptível, deixando os desenvolvedores legítimos fazerem o trabalho por eles. Pesquisadores da Palo Alto determinaram que o pacote pirata do XCode esteve disponível por seis meses, foi baixado e usado para desenvolver e atualizar diversos aplicativos iOS. Depois, os apps foram submetidos à Apple Store e conseguiram burlar a verificação de vírus da Apple.
O que vem por aí?
Recentemente, a Apple confirmou para a Reuters que todos os aplicativos corrompidos foram removidos da Apple Store e que a empresa está verificando se os desenvolvedores estão usando a versão legítima do XCode.
Apple Asks Developers To Verify Their Version Of Xcode Following Malware Attack On Chinese App Store http://t.co/OtBO21SGX6 by @sarahintampa
— TechCrunch (@TechCrunch) September 22, 2015
Infelizmente, esse não é o ponto final dessa história. Ainda não se sabe quantos aplicativos foram afetados. A Reuters afirma que a empresa de segurança chinesa Qihoo360 Technology alega que detectou 344 aplicativos atingidos pelo XcodeGhost.
Esse incidente pode significar o começo de uma nova fase para o cibercrime, evidenciando como desenvolvedores estão tão vulneráveis, quanto distribuidores “não-oficiais” e usuários comuns. Outros criminosos podem copiar as táticas usados para desenvolver o XcodeGhost. Além do mais, o instituto SANS reportou que o autor do XcodeGhost publicou o código fonte do malware no GitHub, onde está disponível gratuitamente para download.