Originalbeitrag von Trend Micro
Traditionell wird der iOS-Appstore als eine sichere App-Quelle angesehen, dank der Apple-Politik, den eigenen Garten einzuzäunen. Allerdings ist dieser Ruf nicht mehr vollständig gerechtfertigt, seit mehrere legitime Apps im iOS-Appstore gefunden wurden, die bösartigen Code enthielten. Dieser wird als XcodeGhost bezeichnet.
Die Frage lautet nun: Wie konnte XcodeGhost passieren? Xcode – Apples Werkzeugkasten für die Entwicklung auf den verschiedenen Plattformen des Unternehmens – bereitete chinesischen Entwicklern aufgrund seiner Größe (mehrere Gigabytes) und langsamer Verbindungen zu Apple-Servern Schwierigkeiten beim Herunterladen von offiziellen Quellen. (Chinesische Anwender erreichen Sites innerhalb Chinas ungleich schneller als solche außerhalb des Landes). Folglich luden viele chinesische iOS-App-Entwickler Xcode nicht von offiziellen Quellen herunter. Stattdessen griffen sie auf den Download von Kopien zurück, die auf lokalen Filesharing-Sites gehostet und in verschiedenen Online-Foren beworben wurden:
Abbildung 1: Post in einem Forum zu Xcode-Kopien
Leider wurde in diesen Kopien ein neues CoreServices-Entwicklungsframework hinzugefügt, das bösartigen Code enthielt und das Original ersetzen sollte. Folglich enthielt auch jede App, die mit diesen Werkzeugen erstellt wurde, diesen bösartigen Code. Unten stehende Screenshots zeigen, wie eine bösartige URL in den Code eingefügt wurde, auf die die mit den bösartigen Tools programmierten Apps zugreifen würden. Der erste Screenshot stammt aus einer modifizierten Version von Xcode 6.2, der andere von einer modifizierten 6.4-Version. Letztere versucht, die bösartige URL zu verstecken, um Sicherheitsforscher und -software zu überlisten. (Die neueste Version, die Apple zum Herunterladen bereitstellt, ist Xcode 7; auch eine Betaversion von 7.1 ist verfügbar).
Abbildung 2: Modifizierte Version von Xcode 6.2
Abbildung 3: Modifizierte Version von Xcode 6.4
Verseuchte Apps
Hier sind einige der Apps aufgelistet, die XcodeGhost-Code enthalten. Allerdings dürften auch weitere Apps aufgrund des weit verbreiteten Gebrauchs der von Drittquellen heruntergeladenen Xcode-Kopien betroffen sein.
| BundleID | Version | AppLabel |
| com.51zhangdan.cardbox | 5.0.1 | 51卡保险箱 |
| com.cloud1911.mslict | 1.0.44 | LifeSmart |
| cn.com.10jqka.StocksOpenClass | 3.10.01 | 炒股公开课 |
| com.xiaojukeji.didi | 3.9.7 | 嘀嘀打车 |
| com.xiaojukeji.didi | 4.0.0 | 滴滴出行 |
| com.xiaojukeji.dididache | 2.9.3 | 滴滴司机 |
| com.dayup11.LaiDianGuiShuDiFree | 3.6.5 | 电话归属地助手 |
| sniper.ChildSong | 1.6 | 儿歌动画大全 |
| com.rovio.scn.baba | 2.1.1 | 愤怒的小鸟2 |
| com.appjourney.fuqi | 2.0.1 | 夫妻床头话 |
| com.autonavi.amap | 7.3.8 | 高德地图 |
| com.stockradar.radar1 | 5.6 | 股票雷达 |
| cn.com.10jqka.TheStockMarketHotSpots | 2.40.01 | 股市热点 |
| com.jianshu.Hugo | 2.9.1 | Hugo |
| com.wdj.eyepetizer | 1.8.0 | Eyepetizer |
| com.iflytek.recinbox | 1.0.1083 | 录音宝 |
| com.maramara.app | 1.1.0 | 马拉马拉 |
| com.intsig.camcard.lite | 6.5.1 | CamCard |
| com.octInn.br | 6.6.0 | BirthdayReminder |
| com.chinaunicom.mobilebusiness | 3.2 | 手机营业厅 |
| cn.12306.rails12306 | 2.1 | 铁路12306 |
| cn.com.10jqka.IHexin | 9.53.01 | 同花顺 |
| cn.com.10jqka.IphoneIJiJin | 4.20.01 | 同花顺爱基金 |
| cn.com.gypsii.GyPSii.ITC | 7.7.2 | 图钉 |
| com.netease.videoHD | 10019 | 网易公开课 |
| com.netease.cloudmusic | 2.8.3 | 网易云音乐 |
| com.tencent.xin | 6.2.5 | 微信 |
| com.tencent.mt2 | 1.10.5 | 我叫MT 2 |
| com.gemd.iting | 4.3.8 | 喜马拉雅FM |
| com.xiachufang.recipe | 48 | 下厨房 |
| cn.com.10jqka.ThreeBoard | 1.01.01 | 新三板 |
| com.simiao-internet.yaodongli | 1.12.0 | 药给力 |
| com.gaeagame.cn.fff | 1.1.0 | 自由之战 |
Apps promoten
Aufgrund des Unmuts, den XcodeGhost ausgelöst hat, veröffentlichte dessen Autor mittlerweile ein Entschuldigungsschreiben zusammen mit dem Quellcode. Ein Blick in den Quellcode verrät, dass dieser nicht nur Informationen absaugt, sondern auch Apps promoten kann. Opfer werden dazu auf die gewünschte App im Appstore hingeleitet. Außerdem lassen sich mit XcodeGhost Benachrichtigungen an die Anwender schicken, die für bösartige Zwecke wie Betrug oder Phishing missbraucht werden können.
Abbildung 4: Auszug des veröffentlichten Quellcodes
Betroffene Länder und Regionen
Auf Basis unserer Monitoringdaten kommen wir zu dem Schluss, dass China von allen Ländern am meisten von XcodeGhost betroffen ist, dicht gefolgt von Nordamerika. Dies ist kein Wunder, wenn man bedenkt, dass etliche der bekanntermaßen infizierten Apps außerhalb Chinas verfügbar sind.
Abbildung 5: Betroffene Länder
Die Trend Micro-Lösungen können Apps, die diesen bösartigen Code enthalten, entdecken. Der bei einer erfolgreich aufgespürten Infektion angezeigte Name lautet IOS_XcodeGhost.A.