Vigyázat! iOS 9-en is fertőz az XcodeGhost kártevő

A szeptemberben nagy port kavart, iOS kompatibilis mobil eszközöket fertőző kártékony program az elmúlt hetekben nem hallatott magáról. Azonban most kiderült, hogy nem tűnt el a süllyesztőben, sőt tovább fejlődött.
 

Szeptemberben gyorsan bejárta a világsajtót az a biztonsági hír, miszerint több millió Apple-féle mobil eszközt veszélyeztethet az a kártékony program, amely az XcodeGhost nevet kapta. A készítői az alkalmazások fejlesztéséhez használt Xcode programfejlesztő csomagot manipulálták, majd az egyik kínai fájlmegosztó weboldalon publikálták a kompromittált változatot. Ennek az volt a feladata, hogy az új vagy módosított mobilos alkalmazásokba olyan kódokat illesszen be, amik a felhasználók megkárosítására alkalmasak. Mindezt olyan módon tette, hogy maguk a fejlesztők sem vették észre, hogy a programjaik az App Sotre-ba való publikálás után több funkcióval rendelkeznek, mint amit megvalósítottak. Amikor egy ilyen alkalmazást a felhasználó feltelepített, akkor a kártékony összetevők először összegyűjtöttek néhány adatot (aktuális rendszeridőt, az eszköz nevét, az elérhető hálózatok listáját stb.), majd esetenként felbukkanó ablakokat jelenítettek meg. Ezek olykor nagyon megtévesztőre sikerültek, és egyebek mellett az Apple ID megadására próbálták rávenni a felhasználókat.
 
Az XcodeGhostot természetesen számos biztonsági cég és kutató vette górcső alá. Így egyebek mellett a FireEye, valamint a Palo Alto Networks szakértői is, akik hasznos információkkal látták el az Apple-t. A vállalat a nemkívánatos esemény napvilágra kerülése után azonnal megtette a szükséges intézkedéseket, és a megfertőzött, ártalmas alkalmazásokat eltávolította az App Store-ból. Ezt követően megnyugodtak a kedélyek, de sajnos a történetnek nem lett vége. A FireEye szerint ugyanis az XcodeGhost, kisebb intenzitással ugyan, de továbbra is aktívan ostromolja a készülékeket. Most a vállalati felhasználók vannak a célkeresztjében, de sok oktatási intézmény hálózatában is felbukkant már. Statisztikák szerint jelenleg 210 nagyvállalat küzd a kártékony kóddal, legtöbbjük Kínában. Emellett Németországban és az Egyesült Államokban is problémákat okoz a szerzemény.  
Az iOS 9 is áldozattá válhat
 
Az XcodeGhost oly annyira nem tűnt el, hogy a legújabb variánsa már az iOS 9 esetében is képes a fertőzésre. Az alapverziója azért nem jelentett kockázatot a legújabb operációs rendszert futtató okoseszközökön, mert HTTP-kapcsolaton keresztül kommunikált a vezérlőszervereivel. Az iOS 9 viszont alapértelmezésként tiltja az alkalmazások számára, hogy HTTP-alapú adatforgalmazást folytassanak távoli szerverekkel. A legújabb XcodeGhost ezt a védelmi réteget egy egyszerű huszárvágással kerüli meg, ugyanis hozzáadja saját magát a kivételek listájához. Ettől kezdve pedig akadálytalanul tud kommunikálni a támadók kiszolgálóival.  
A FireEye úgy látja, hogy az XcodeGhost károkozásait az is segíti, hogy hiába jelentek meg a kompromittált alkalmazások frissített, biztonságos kiadásai, azokat nem minden felhasználó telepítette fel. Például az egyik legsúlyosabban érintett szoftver, a WeChat a mai napig több ezer fertőzött példányban fut a mobilokon.
 
A biztonsági cég szerint sok vállalat letiltotta azon domaineket, amelyek az XcodeGhosttal voltak összefüggésbe hozhatók. Azonban, ha a felhasználók a saját mobiljaikkal nem a vállalati átjárókon keresztül kapcsolódnak az internethez, akkor ez a fajta védelem sem ér sokat. Ráadásul a legújabb variáns már dinamikusan képes generálni a vezérlőszervekhez tartozó domain neveket, így a feketelistás módszerek egyre csak veszítenek a hatékonyságukból. A legjobb megoldást jelenleg az alkalmazások frissítése jelenti.