40 apps de la App Store parecen estar infectadas

23 Sep 2015

Se ha encontrado un gusano en la segura red de Apple. Unas 40 apps de la App Store de iOS están siendo reparadas, ya que han sido infectadas por un código malicioso diseñado con el fin de construir una botnet con dispositivos Apple.

xcodeghost-FB

El malware XcodeGhost ha afectado a decenas de apps entre las que se incluyen: WeChat (con más de 600 milliones de usarios), la aplicación de descarga de música NetEase, el escáner de tarjetas de visita CamCard y la aplicación de alquiler de coches de Didi Kuaidi, similar a Uber. Para colmo, las versiones chinas de Angry Birds 2 también han sido infectadas, ¿es que ya no se respeta nada?

Apple emplea una gran cantidad de tiempo y esfuerzo en monitorizar cada una de las apps ubicadas en la Apple Store. Estos esfuerzos realmente la diferencian de Google Play y otras tiendas de aplicaciones móviles, que están completamente plagadas de software malicioso (al menos hasta que Google lanzó su sistema de escaneo de malware en 2014).

En este contexto, septiembre de 2015 parece haber sido bastante infructuoso para Apple, ya que los expertos encontraron malware dirigido a los dispositivos con Jailbreak, un ataque al que todo el mundo se refirió como el “mayor robo en el que se han visto envueltas las cuentas de Apple“, y ahora la compañía de seguridad informática Palo Alto Networks ha encontrado software comprometido en la App Store.

¿Qué es Xcode y a qué hace referencia en concreto XcodeGhost?

Xcode es un conjunto de herramientas gratuitas utilizadas por los desarrolladores de software para crear apps para iOS y Apple Store. Lo distribuye Apple oficialmente y otras compañías lo distribuyen de forma no oficial.

XcodeGhost es un software malicioso diseñado para afectar a Xcode y, por lo tanto, comprometer a ciertas apps creando herramientas infecciosas. Las aplicaciones infectadas roban los datos personales de los usuarios, enviándoselos a los hackers.

¿Cómo han sido manipuladas las apps?

El software official de Apple, Xcode, no se ha visto comprometido, el problema se encuentra en la versión no oficial de la herramienta, que se encuentra subida al servicio de almacenaje en la nube llamado Baidu (que es una especie de Google chino). La descarga de las herramientas necesarias desde páginas web de terceros es una práctica muy popular en China, y como se ha visto en este caso, no se trata de un buen hábito.

Existe una razón por la cual los desarrolladores chinos escogen páginas web poco seguras y no oficiales en lugar de las oficiales. Internet es bastante lento en este país; además, el gobierno chino limita el acceso a los servidores extranjeros por tres vías. Ya que el tamaño del paquete de instalación de las herramientas Xcode es de unas 3,59 GB, la descarga desde los servidores de Apple tardaría demasiado tiempo.

Por lo tanto, todo lo que tuvieron que hacer los hackers que están detrás de XcodeGhost fue infectar un paquete de herramientas no oficial con un malware inteligente e imperceptible y esperar a que los desarrolladores legítimos hagan todo el trabajo. Los investigadores de Palo Alto Networks determinaron que el paquete malicioso Xcode ha estado disponible durante seis meses y se ha descargado y utilizado para crear una gran cantidad de aplicaciones nuevas y actualizaciones de iOS. Después fueron introducidas de forma natural en la App Store y, de alguna forma, burlaron el sistema de escaneo antimalware de Apple.