XCodeGhost: apps para iOS infectadas desde su creación

Apple ha tenido que remover de su App Store más de 300 aplicaciones para iOS infectadas con malware, luego de que se confirmara un problema en su seguridad. Según reporta The Guardian, la compañía confirmó el domingo que estaba limpiando su tienda móvil tras haber encontrado el programa malicioso XCodeGhost.

Ya hace tiempo que iOS dejó de ser (si es que alguna vez lo fue) el paraíso libre de malware que Apple prometía a sus usuarios. Durante los últimos meses hemos visto algunos ejemplos de cómo los ciberdelincuentes han conseguido vulnerar la seguridad de este sistema operativo, aunque siguen limitándose principalmente al mercado chino. XCodeGhost es el último ejemplo: un ingenioso y efectivo ataque que ha conseguido hacer pasar por seguras varias decenas de aplicaciones infectadas.

XCodeGhost y el compilador infectado

Con cierto ingenio, los ciberdelincuentes han optado por infectar el compilador (XCode) que se utiliza para crear las aplicaciones en iOS. De esta forma, los desarrolladores están incluyendo código malicioso en sus aplicaciones sin saberlo y, al estar firmadas por el desarrollador legítimo, se suben a la App Store sin que Apple ponga objeciones.

Los usuarios que las descargaran quedarían expuestos a que se filtre su información personal a los atacantes. Afortunadamente, una vocera de Apple confirmó a Reuters que las aplicaciones creadas con este software falso fueron emilinadas de la App Store, y que se está trabajando con los desarrolladores para asegurar que estén usando la versión correcta de Xcode para construir sus apps.

Esta nueva técnica es más peligrosa que algunas de las más recientes, puesto que se consigue sortear uno de los mecanismos de seguridad más robustos de iOS: la revisión de las aplicaciones que se suben a la tienda de Apple. De esta forma, los usuarios, confiados en que todas las aplicaciones que descargan desde la tienda oficial son seguras, pueden llegar a instalar malware en sus dispositivos, independientemente de si tiene realizado el jailbreak o no.

Además, algunas de las aplicaciones que se han desarrollado usando una versión infectada de XCode son bastante populares. Es el caso de WeChat Messenger, aplicación de mensajería instantánea muy usada en China y que cuenta con cientos de millones de usuarios.

Repaso de amenazas anteriores

Como ya hemos dicho, encontrar aplicaciones maliciosas para iPhone no es novedad, si bien estas no suelen aparecer en la App Store de Apple; normalmente, se suelen instalar desde tiendas de terceros o utilizando el provisioning profile que algunas empresas utilizan para permitir la instalación de aplicaciones creadas por ellos mismos en los dispositivos de sus usuarios.

Existen varios ejemplos de ataques similares a XCodeGhost, por ejemplo, Wirelurker y Masque, dos ataques que se aprovechaban de la característica provisioning profile para infectar con aplicaciones maliciosas a dispositivos iOS que no tuvieran realizado el jailbreak. Este punto es importante, puesto que si el dispositivo tiene realizado este proceso es mucho más fácil conseguir infectarlo, ya que se omiten todas las comprobaciones que Apple realiza a las aplicaciones.

Más recientemente hemos analizado una vulnerabilidad en el sistema de transferencia de ficheros a corta distancia Airdrop, utilizada por varios dispositivos y ordenadores de Apple. De nuevo se hacía un uso malicioso del provisioning profile pero, a diferencia de los casos anteriores, se podía instalar aplicaciones maliciosas sin conocimiento del usuario, aunque solamente aplicable a ataques a corta distancia.

Conclusión

No cabe duda de que este nuevo ataque es una vuelta de tuerca más en la evolución de amenazas para iOS. Si bien la gran mayoría de estas siguen concentrándose en el mercado chino, no sería de extrañar que los ciberdelincuentes empezaran a apuntar a otras regiones donde Apple también tiene una fuerte presencia.

Queda por saber si la empresa adoptará medidas para evitar este tipo de ataques en el futuro, puesto que si bien hasta ahora se ha mantenido bastante al margen (sobre todo si tenemos en cuenta la cantidad de amenazas existentes en Android), es de esperar que el interés de los ciberdelincuentes en atacar los sistemas de la manzana se incremente.

Créditos imagen: ©bfishadow/Flickr

Autor , ESET

Síguenos