Компания Apple обнаружила и удалила десятки зараженных приложений для iPhone и iPad
Зараженное программное обеспечение попало в AppStore при помощи поддельной версии программы Apple Xcode, которая используется для создания приложений и программного обеспечения для iOS на Mac, сообщает портал Cnet.
Охранная фирма Palo Alto Networks, которая изначально и сообщила о проблеме, обнаружила тридцать девять приложений, скомпрометированных при помощи ПО XcodeGhost, причем в числе зараженных программ были приложения для торговли акциями и банковской деятельности. В основном, под удар попали приложения из Китая и юго-восточной Азии.
В Apple заявили, что уже очистили магазин от инфицированных приложений.
«Мы убрали обнаруженные зараженные приложения из AppStore», — сказал пресс-секретарь компании Apple. «Сейчас мы сотрудничаем с пострадавшими разработчиками, чтобы убедиться, что они используют корректную версию Xcode, чтобы восстановить свои приложения в магазине».
Компания из Калифорнии не сообщает, сколько и какие именно приложения были заражены. По информации от Palo Alto Networks под удар попало приложение WeChat для обмена текстовыми сообщениями с аудиторией более 500 миллионов пользователей в месяц. Разработчик WeChat, компания Tencent сказала, что потенциально заражены могли быть только приложения устаревшей версии.
Безопасность приложений Apple в из магазине электронной дистрибуции AppStore всегда была на высоте. Palo Alto Networks утверждают, что до этого инцидента подобная ситуация имела место быть всего пять раз за всю историю AppStore, при учете того, что сейчас на электронной площадке размещено более 1,5 миллиона приложений.
Райан Олсен, директор Threat Intelligence сказал агентству Рейтер, что YiSpecter был относительно безвреден, но сам факт того, что подобное произошло на просторах AppStore может привести к проблемам значительно большего масштаба.
В словах Олсена есть доля лукавства, так как YiSpecter не просто показывал полноэкранную рекламу и мог изменить параметры поиска в браузере Safari, но так же и открывал двери для более масштабной атаки злоумышленников. По информации РБК вирус может самостоятельно устанавливать и запускать произвольные приложения на устройствах Apple, а также заменять уже установленные приложения другими и захватывать их для показа рекламы.
farcaller
Если кому интересно, то в самом первом источнике написано как это работает.
Вкратце, пользователю надо согласиться на запуск приложения, подписанного Enterprise-сертификатом, после чего оно действительно может устанавливать сторонние приложения через entitlement com.apple.private.mobileinstall.allowedSPI. Иконка прячется благодаря
SBAppTags
в Info.plist.Линкуется к SpringBoardServices, и через него отслеживает какие приложения запускаются, и может перехватывать запуск и действительно показывать рекламу.