Apple bevestigt: App Store bevatte met malware geïnfecteerde apps

Kwaadwillenden zijn er voor het eerst in geslaagd een groot aantal met malware besmette apps in de App Store te krijgen. Apple heeft de uitbraak tegenover Reuters bevestigd, de apps verwijderd en de ontwikkelaars aangesproken.

Chinese ontwikkelaars integreerden de malware onbewust in apps. Beveiligingsbedrijf Palo Alto Networks ontdekte de malware en vond 100 geïnfecteerde apps, waarvan enkelen China populair waren.

De oorzaak: XcodeGhost

De malware werd verspreid via een gemanipuleerde versie van Xcode, de software die ontwikkelaars gebruiken om apps te maken. Omdat Apple’s servers vanuit China soms traag reageren, werd Xcode door Chinese ontwikkelaars via de lokale servers van downloaddienst Baidu binnengehaald. Die versie integreerde echter malware in apps die de App Store bij controle niet heeft onderschept.

Beveiligingsbedrijf Palo Alto Networks heeft de malware geanalyseerd en XcodeGhost genoemd. Apple is bezig de schade te herstellen, een woordvoerder tegen Reuters:

We’ve removed the apps from the App Store that we know have been created with this counterfeit software. We are working with the developers to make sure they’re using the proper version of Xcode to rebuild their apps.

De gevolgen

De besmette iOS-apps onderschepten systeeminformatie zoals de taalinstelling, naam en serienummer van de iOS-apparaten. De gegevens werden vervolgens naar criminelen gestuurd die via onder andere notificaties en fictieve login-schermen gebruikers konden verleiden hun wachtwoord achter te laten. Daarnaast kon de malware gegevens die gekopieerd en geplakt werden zien.

Naast Chinese apps zijn ook in het Westen populaire apps als CamCard (populaire visitekaartjesscanner), Datamonitor, WinZip en WeChat geïnfecteerd. Volgens onderzoekers van Palo Alto Networks is deze truc met Xcode potentieel erg gevaarlijk:

We believe XcodeGhost is a very harmful and dangerous malware that has bypassed Apple’s code review and made unprecedented attacks on the iOS ecosystem. The techniques used in this attack could be adopted by criminal and espionage focused groups to gain access to iOS devices.

De oplossing

Het Nederlandse Fox-IT heeft samen met Palo Alto Networks een lijst van besmette apps gemaakt. Omdat de site waarop de lijst is gepubliceerd door de grote hoeveelheid bezoekers offline is, hebben we hieronder de niet-Chinese apps op een rij gezet.

Als je een van deze apps geïnstalleerd hebt, doe je er verstandig aan deze direct te verwijderen. De geïnfecteerde versies zijn door Apple uit de App Store verwijderd. Zodra de apps weer in de App Store verschijnen, is het veilig deze opnieuw te installeren. Apple legt nergens uit hoe een besmetting te identificeren is, maar als je een van onderstaande apps had, is je iCloud-wachtwood veranderen een verstandige zet.

• WinZip
• PDFReader Free
• WinZip Standard
• Lifesmart 1.0.44
• CamCard
• WinZip Sector
• SaveSnap
• WeChat
• CamScanner
• CamCard
• SegmentFault 2.8
• OPlayer 2.1.05
• Mercury
• Musical.ly
• PDFReader
• guaji_gangtai en
• Perfect365
• PDFReader Free
• WhiteTile
• IHexin
• MoreLikers2
• CamScanner Lite
• MobileTicket
• iVMS-4500
• OPlayer Lite
• QYER
• golfsense
• ting
• installer
• golfsensehd
• Wallpapers10000
• CSMBP-AppStore
• MSL108
• ChinaUnicom3.x
• TinyDeal.com
• snapgrab copy
• iOBD2
• PocketScanner
• CuteCUT
• AmHexinForPad
• SuperJewelsQuest2
• air2
• InstaFollower
• CamScanner Pro
• baba
• WeLoop
• DataMonitor
• MSL070
• nice dev
• immtdchs
• OPlayer
• FlappyCircle
• BiaoQingBao
• Guitar Master
• jin
• Quick Save

Onderwerpen

• App Store