ABD'deki birçok şirket hala XcodeGhost bulaşmış Apple uygulamalarını kullanıyor

ABD işletmelerinin düzinelerce hala XcodeGhost olarak bilinen geçen ay ortaya bir akıllı korsanlık planı için malware ile tohumlanan Apple mobil uygulamaları kullanıyor.

bilgisayar güvenlik firması FireEye Salı günü olduğunu söyledi Bir blog yayınına göre, XcodeGhost kötü amaçlı yazılımın “kalıcı bir güvenlik riski” olduğunu gösteren ve halen virüs bulaşan uygulamaları kullanan 210 işletmenin olduğunu saptadı.

Geçen ay, sahte bir sürümle 4.000'den fazla uygulamanın değiştirildiği bulundu Xcode, bir uygulama geliştirme aracı olan Apple'dan.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

XcodeGhost olarak adlandırılan kötü amaçlı sürüm, uygulamalara gizli kod ekler. Bir cihaz veya hatta açık URL'ler hakkında tanımlayıcı bilgi toplayabilir

Çoğunlukla Çin'de bulunan bazı uygulama geliştiricilerinin, doğrudan Apple'dan edinme sorunlarından dolayı Xcode'un sahte sürümünü indirmiş olabileceği düşünülmüştür. Baidu'nun bulut dosya paylaşım hizmeti bir seferde değiştirilmiş Xcode'u barındırdı, ancak Palo Alto Networks'e göre daha sonra kaldırıldı.

XcodeGhost, onunla enfekte olmuş uygulamaların, kötü niyetli uygulamaların sunulmasını engellemek için Apple'ın kontrollerini atladığından kolayca endişe ediyordu. Mobil Uygulama Mağazası. Bu, Apple'ın kalitesi üzerinde yüksek ve güvenlik risklerini düşük tutmak için mağaza üzerinde sıkı bir kontrole sahip olan Apple için biraz utanç vericiydi.

Apple, virüslü uygulamaları App Store'dan kaldırdı ve bazıları daha sonra kötü amaçlı olmayan sürümlerle değiştirildi.

Ekran Görüntüsü / Apple

Apple'ın Xcode aracı, şirketin cihazlarına yönelik uygulamalar oluşturmak için kullanılıyor.

Ancak FireEye'ın son bulgusu, birçok kullanıcının virüslü uygulamaları cihazlarında sanitize edilmiş sürümlerle güncellememiş olabileceğini gösteriyor.

FireEye ABD'deki işletmelerde kalan kötü amaçlı uygulamalar hala XcodeGhost'un komut ve kontrol sunucuları ile iletişim kurmaya çalışıyor. Araştırmacılar, Tencent'ten gelen WeChat mesajlaşma uygulamasının eski sürümlerini ve Müzik 163 adlı bir müzik uygulamasını içeriyor.

Şifreli olmayan bu iletişim diğer bilgisayar korsanları tarafından ele geçirilebildiğinden ve diğer saldırılar için kullanıldığından tehlikeli bir durumdu.

XcodeGhost'un keşfedilmesinden bu yana, bazı şirketler XcodeGhost'un komut ve kontrol sunucularına yönlendiren ağ trafiğini ve DNS sorgularını engelledi.

Ancak, bu çalışanlar cihazlarını ve uygulamalarını güncelleyene kadar, XcodeGhost'un potansiyel olarak ele geçirilmesine karşı hala savunmasız durumdalar. CnC trafiği, özellikle de şirket ağlarının dışına çıktığında, ”diye yazdı FireEye yazdı:

Bu veri trafiğini ele geçirmek, bir saldırganın hassas verileri talep eden beklenmedik pop-up pencereleri göstermesine, mobil cihazın bir URL'ye gitmesine ya da bir Apple'ın mağazasında değil.

Şaşırtıcı bir şekilde, FireEye, Apple mobil cihazlarının hala yüzde 70'inin etkilenen iOS 9'a yükseltilmediğini belirtti. Ayrıca, kullanıcılar tüm uygulamalarının güncel olmasını sağlamalı, bu da virüslü uygulamaları cihazlarından kaldırmalıdır.

XcodeGhost kim oluşturduysa, XcodeGhost S adında iOS 9'u hedefleyebilecek yeni bir sürüm geliştirdi, FireEye yazdı

Bu güncellemenin, diğer sunucularla bağlantıların çoğunun şifrelendiğinden emin olmak için iOS 9'da yerleşik bir Apple'ın Apple'ı ele geçirmesi amaçlanıyor. Ayrıca, FireEye ile iletişim kurduğu komut ve kontrol sunucularının statik tespitini ortadan kaldırmak için bir yöntem kullanır.

Apple, XcodeGhost S ile enfekte olmuş bir uygulamayı "Özgür Devlet" e çeviren bir uygulamayı kaldırmıştır. Bu bir alışveriş uygulamasıdır. ABD ve Çin'deki Apple App Store'da sunulan gezginler için, FireEye dedi.