Comments | securityblogru: XcodeGhost: оригинальный подход к распространению троянов

dil in securityblogru

XcodeGhost: оригинальный подход к распространению троянов

Sep 21, 2015 11:52

Вместо того, чтобы взламывать конечные устройства, хакеры начали распространять подхаченную версию Xcode (это эппловская среда для разработки приложений для iOS и MacOS X). Выглядит она как родная, но в создаваемые приложения добавляет трояна, а пользующийся ей разработчик об этом совершенно не подозревает. А потом эти затрояненные приложения ( Read more... )

ios, trojan

Comments 8

digest September 21 2015, 11:15:31 UTC

Напоминает "А вы на шкаф залезте!", ну или "молдавский вирус" :) Наверное таки можно найти бедолаг, качающих Xcode вручную, хотя у 99.999% девелоперов он установлен из стора и там же сам апдейтится, когда надо.
Интересно другое: если приложение прошло цензуру, то что может сделать троян, использующий только разрешенные API и выполняющийся в сэндбоксе? Походить по разным сайтам и накрутить порнотрафик?

dil September 21 2015, 12:30:10 UTC

Ну там по ссылке написано, что он может сделать:

iOS apps infected with XcodeGhost malware can and do collect information about devices and then encrypt and upload that data to command and control (C2) servers run by attackers through the HTTP protocol. The system and app information that can be collected includes:

Current time
Current infected app’s name
The app’s bundle identifier
Current device’s name and type
Current system’s language and country
Current device’s UUID
Network type

Palo Alto Networks also discovered that infected iOS apps can receive commands from the attacker through the C2 server to perform the following actions:

Prompt a fake alert dialog to phish user credentials;
Hijack opening specific URLs based on their scheme, which could allow for exploitation of vulnerabilities in the iOS system or other iOS apps;
Read and write data in the user’s clipboard, which could be used to read the user’s password if that password is copied from a password management tool.

digest September 21 2015, 12:57:52 UTC

Отправляемая инфа выглядит небогато. Локальное время и версия ойфона - жуткая компрометация, ага.
И совсем непонятно как C2 уживается с официальным яббловым пуш-сервисом (а другого сервиса у отцензуренного приложения быть не может). Ботнет же умрет быстрее, чем хакИры вернутся со школы!

Выходит из пушки по воробьям: нетривиально заразить среду разработки в надежде на трех лохов, не только тянущих тулзы с файлопомоек, но и разрешающих исполнение неподписанных прог в OS X, чтобы пробраться с чужими приложениями в аппстор, чтобы... успеть зафишить криденшиалс у пары других лохов, не знающих, что у настоящего credentials-диалога клавиатура меняет цвет. И то, даже лохи поймут, что просьба ввести пароль просто так не появляется. Эппл - не Майкрософт: к бездумным модальным парольным запросам она своих юзверей не приучила.

Как-то слишком сложно...

dil September 21 2015, 14:31:34 UTC

Не, приложения у них свои, честно загружаемые в AppleStore, только они не знают, что приложения заражённые.
http://bugtraq.ru/rsn/archive/2015/09/03.html

_slw September 21 2015, 11:30:02 UTC

о, всего через 32 года реализовали идею Томпсона?

dil September 22 2015, 12:01:37 UTC

Да он же её вроде сам тогда и реализовал, только распространять этот подхаченный компилятор не стал :)

irnis_fb September 22 2015, 10:26:22 UTC

был уже такой вирус для Delphi...

dil September 22 2015, 10:35:24 UTC

Идея-то старая :) http://c2.com/cgi/wiki?TheKenThompsonHack