Apple bevestigt: App Store bevatte met malware geïnfecteerde apps

Door: Raymon Mens - 23 reacties

Kwaadwillenden zijn er voor het eerst in geslaagd een groot aantal met malware besmette apps in de App Store te krijgen. Apple heeft de uitbraak tegenover Reuters bevestigd, de apps verwijderd en de ontwikkelaars aangesproken.

Chinese ontwikkelaars integreerden de malware onbewust in apps. Beveiligingsbedrijf Palo Alto Networks ontdekte de malware en vond 100 geïnfecteerde apps, waarvan enkelen China populair waren.

De oorzaak: XcodeGhost

De malware werd verspreid via een gemanipuleerde versie van Xcode, de software die ontwikkelaars gebruiken om apps te maken. Omdat Apple’s servers vanuit China soms traag reageren, werd Xcode door Chinese ontwikkelaars via de lokale servers van downloaddienst Baidu binnengehaald. Die versie integreerde echter malware in apps die de App Store bij controle niet heeft onderschept.

Beveiligingsbedrijf Palo Alto Networks heeft de malware geanalyseerd en XcodeGhost genoemd. Apple is bezig de schade te herstellen, een woordvoerder tegen Reuters:

We’ve removed the apps from the App Store that we know have been created with this counterfeit software. We are working with the developers to make sure they’re using the proper version of Xcode to rebuild their apps.

De gevolgen

De besmette iOS-apps onderschepten systeeminformatie zoals de taalinstelling, naam en serienummer van de iOS-apparaten. De gegevens werden vervolgens naar criminelen gestuurd die via onder andere notificaties en fictieve login-schermen gebruikers konden verleiden hun wachtwoord achter te laten. Daarnaast kon de malware gegevens die gekopieerd en geplakt werden zien.

Naast Chinese apps zijn ook in het Westen populaire apps als CamCard (populaire visitekaartjesscanner), Datamonitor, WinZip en WeChat geïnfecteerd. Volgens onderzoekers van Palo Alto Networks is deze truc met Xcode potentieel erg gevaarlijk:

We believe XcodeGhost is a very harmful and dangerous malware that has bypassed Apple’s code review and made unprecedented attacks on the iOS ecosystem. The techniques used in this attack could be adopted by criminal and espionage focused groups to gain access to iOS devices.

De oplossing

Het Nederlandse Fox-IT heeft samen met Palo Alto Networks een lijst van besmette apps gemaakt. Omdat de site waarop de lijst is gepubliceerd door de grote hoeveelheid bezoekers offline is, hebben we hieronder de niet-Chinese apps op een rij gezet.

Als je een van deze apps geïnstalleerd hebt, doe je er verstandig aan deze direct te verwijderen. De geïnfecteerde versies zijn door Apple uit de App Store verwijderd. Zodra de apps weer in de App Store verschijnen, is het veilig deze opnieuw te installeren. Apple legt nergens uit hoe een besmetting te identificeren is, maar als je een van onderstaande apps had, is je iCloud-wachtwood veranderen een verstandige zet.

  • WinZip
  • PDFReader Free
  • WinZip Standard
  • Lifesmart 1.0.44
  • CamCard
  • WinZip Sector
  • SaveSnap
  • WeChat
  • CamScanner
  • CamCard
  • SegmentFault 2.8
  • OPlayer 2.1.05
  • Mercury
  • Musical.ly
  • PDFReader
  • guaji_gangtai en
  • Perfect365
  • PDFReader Free
  • WhiteTile
  • IHexin
  • MoreLikers2
  • CamScanner Lite
  • MobileTicket
  • iVMS-4500
  • OPlayer Lite
  • QYER
  • golfsense
  • ting
  • installer
  • golfsensehd
  • Wallpapers10000
  • CSMBP-AppStore
  • MSL108
  • ChinaUnicom3.x
  • TinyDeal.com
  • snapgrab copy
  • iOBD2
  • PocketScanner
  • CuteCUT
  • AmHexinForPad
  • SuperJewelsQuest2
  • air2
  • InstaFollower
  • CamScanner Pro
  • baba
  • WeLoop
  • DataMonitor
  • MSL070
  • nice dev
  • immtdchs
  • OPlayer
  • FlappyCircle
  • BiaoQingBao
  • Guitar Master
  • jin
  • Quick Save

Reacties

23 reacties
  • Profielfoto
    Maurice

    Ik heb WinZip op m’n telefoon, maar direct verwijderd.
    Voor de zekerheid toch maar de telefoon herstellen naar fabrieksinstellingen?

  • Profielfoto
    Sven De Mey

    Had zelf oplayer geïnstalleerd staan. Ook het versienummer klopte, dus meteen verwijderd!

  • Profielfoto
    Maurice

    Oh ja, en zelfs Angry Birds 2 is getroffen…
    http://9to5mac.com/2015/09/21/xcodeghost-infected-apps/

  • Profielfoto
    Henk Jan de Bruijn

    Ik heb een van de apps erop. Dat is CamCard en heb ik al een tijdje niet gebruikt. De laatste update was in april. Betekend het dat de app in die hele tussentijd besmet is geweest? De info is lekker summier…

  • Profielfoto
    Zakske

    Oh ja, en zelfs Angry Birds 2 is getroffen…

    Niet dat ik zelf Angry Birds 2 heb, maar gaat het hier om een app die in de echte Apple Store stond, of is dit zo’n vage app uit een winkel waar je een jailbreak voor nodig hebt? De meeste van die apps klinken als derderangs rip-offs van bekende programma’s, maar Angry Birds is natuurlijk een erg bekend spelletje.

  • Profielfoto
    IcyDragon68

    Ik vraag me af hoe WeChat getroffen is. Ik bedoel het team van WeChat heeft zelf een ‘Security Center’ en deze app is zo vaak gepromoot door Apple voor de band met China. Blijkbaar heeft Apple dus gewoon malware gepromoot.

  • Profielfoto
    KarelWillem

    100 geïnfecteerde apps is misschien nog ietwat voorzichtig.

    Volgens het Chinese beveiligingsbedrijf Qihoo gaat het om 344 apps, die met XcodeGhost waren besmet.

  • Profielfoto
    Dydefox

    Verdorie! Dit zijn AL mijn apps, nu zijn mijn devices helemaal leeg!

  • Profielfoto
    Soulshaker

    ah gebruik je dan ChinaUnicom3.x ?

  • Profielfoto
    maconly

    Begint steeds meer op microsoft te lijken bij Apple , Steve Jobs wordt misselijk van het draaien in zijn graf.

  • Profielfoto
    Yosemite

    Word misselijk van comments over dat dit onder Steve Jobs nooit was gebeurd.

  • Profielfoto
    Ome Kor

    Inderdaad Yosemite, helemaal mee eens. Bovendien, welke Microsoft? De huidige onder Satya Nadella is stukken beter dan toen Steve Balmer en Gates nog aan het roer stonden.

  • Profielfoto
    IGBA

    Oh ja, en zelfs Angry Birds 2 is getroffen

    Update 2: Rovio has advised that only the version of Angry Birds 2 in the Chinese App Store was affected.

  • Profielfoto
    Jeffry

    Ik gok dat als je echt getroffen bent je meer dan alleen je iCloud-ww moet veranderen maar goed…

    De omvang van deze misser is nog best groot trouwens, staan wel een aantal redelijk populaire apps bij. Tijd voor Apple om misschien eens na te denken over decentrale download-oplossingen die wel ondertekend zijn.

  • Profielfoto
    Franky Mac

    Ik denk dat het qua aantal apps wel meevalt, maar het imago dat iOS zo veilig is heeft wel een deuk opgelopen.

  • Profielfoto
    yasser

    Nog steeds minder dan in de playstore van google denk ik dan…..

  • Profielfoto
    maconly

    Word misselijk van comments over dat dit onder Steve Jobs nooit was gebeurd.

    Jammer voor je , ik ben een hardcore Apple gebruiker sinds 1994 ik weet waar het merk voor stond .

    Ze maken nog steeds mooie producten maar ook heel veel ongeinspireerde rommel die verdond slecht werkt.

    Tim Cook is een hypocriete lul die een beetje voort broddelt op de nalatenschap van Steve Jobs.

  • Profielfoto
    IGBA

    Blijkbaar is hier iemand alle ongeïnspireerde rommel uit de jaren 90 vergeten…

  • Profielfoto
    leavestone

    WeChat deïnstalleren is geen optie is de sociale zakelijke app in China wachten op de volgende update? Ben op z’n zachts gezecht niet geamuseerd.

  • Profielfoto
    leavestone

    Graag even verifiëren wechat staat gewoon nog in de AppStore storm in een glas water derhalve!

  • Profielfoto
    wensink

    Maar @Maconly, 1994 was Steve Jobs er ook al zo’n 10 jaar weg..

  • Profielfoto
    Lauwrence

    @Leavestone: WeChat versie 6.2.6 (en dus hoger) is veilig, dat is bij mijn weten ook de versie die in de Appstore staat.

  • Profielfoto
    maconly

    Maar @Maconly, 1994 was Steve Jobs er ook al zo’n 10 jaar weg..

    Ik heb de wederopstanding met de terugkeer van Jobs op de voet gevolgd , ik heb de laatste jaren meer strandballen gezien dan klokjes .