Das Elend mit XcodeGhost – wie konnte es passieren?

Originalbeitrag von Trend Micro

Traditionell wird der iOS-Appstore als eine sichere App-Quelle angesehen, dank der Apple-Politik, den eigenen Garten einzuzäunen. Allerdings ist dieser Ruf nicht mehr vollständig gerechtfertigt, seit mehrere legitime Apps im iOS-Appstore gefunden wurden, die bösartigen Code enthielten. Dieser wird als XcodeGhost bezeichnet.

Die Frage lautet nun: Wie konnte XcodeGhost passieren? Xcode – Apples Werkzeugkasten für die Entwicklung auf den verschiedenen Plattformen des Unternehmens – bereitete chinesischen Entwicklern aufgrund seiner Größe (mehrere Gigabytes) und langsamer Verbindungen zu Apple-Servern Schwierigkeiten beim Herunterladen von offiziellen Quellen. (Chinesische Anwender erreichen Sites innerhalb Chinas ungleich schneller als solche außerhalb des Landes). Folglich luden viele chinesische iOS-App-Entwickler Xcode nicht von offiziellen Quellen herunter. Stattdessen griffen sie auf den Download von Kopien zurück, die auf lokalen Filesharing-Sites gehostet und in verschiedenen Online-Foren beworben wurden:

XcodeGhost_Abbildung1

Abbildung 1: Post in einem Forum zu Xcode-Kopien

Leider wurde in diesen Kopien ein neues CoreServices-Entwicklungsframework hinzugefügt, das bösartigen Code enthielt und das Original ersetzen sollte. Folglich enthielt auch jede App, die mit diesen Werkzeugen erstellt wurde, diesen bösartigen Code. Unten stehende Screenshots zeigen, wie eine bösartige URL in den Code eingefügt wurde, auf die die mit den bösartigen Tools programmierten Apps zugreifen würden. Der erste Screenshot stammt aus einer modifizierten Version von Xcode 6.2, der andere von einer modifizierten 6.4-Version. Letztere versucht, die bösartige URL zu verstecken, um Sicherheitsforscher und -software zu überlisten. (Die neueste Version, die Apple zum Herunterladen bereitstellt, ist Xcode 7; auch eine Betaversion von 7.1 ist verfügbar).

XcodeGhost_Abbildung2

Abbildung 2: Modifizierte Version von Xcode 6.2

XcodeGhost_Abbildung3

Abbildung 3: Modifizierte Version von Xcode 6.4

Verseuchte Apps

Hier sind einige der Apps aufgelistet, die XcodeGhost-Code enthalten. Allerdings dürften auch weitere Apps aufgrund des weit verbreiteten Gebrauchs der von Drittquellen heruntergeladenen Xcode-Kopien betroffen sein.

BundleID Version AppLabel
com.51zhangdan.cardbox 5.0.1 51卡保险箱
com.cloud1911.mslict 1.0.44 LifeSmart
cn.com.10jqka.StocksOpenClass 3.10.01 炒股公开课
com.xiaojukeji.didi 3.9.7 嘀嘀打车
com.xiaojukeji.didi 4.0.0 滴滴出行
com.xiaojukeji.dididache 2.9.3 滴滴司机
com.dayup11.LaiDianGuiShuDiFree 3.6.5 电话归属地助
sniper.ChildSong 1.6 儿歌动画大全
com.rovio.scn.baba 2.1.1 愤怒的小鸟2
com.appjourney.fuqi 2.0.1 夫妻床头话
com.autonavi.amap 7.3.8 高德地图
com.stockradar.radar1 5.6 股票雷达
cn.com.10jqka.TheStockMarketHotSpots 2.40.01 股市
com.jianshu.Hugo 2.9.1 Hugo
com.wdj.eyepetizer 1.8.0 Eyepetizer
com.iflytek.recinbox 1.0.1083 录音宝
com.maramara.app 1.1.0 马拉马拉
com.intsig.camcard.lite 6.5.1 CamCard
com.octInn.br 6.6.0 BirthdayReminder
com.chinaunicom.mobilebusiness 3.2 手机营业厅
cn.12306.rails12306 2.1 铁路12306
cn.com.10jqka.IHexin 9.53.01 同花顺
cn.com.10jqka.IphoneIJiJin 4.20.01 同花顺爱基金
cn.com.gypsii.GyPSii.ITC 7.7.2 图钉
com.netease.videoHD 10019 网易公开
com.netease.cloudmusic 2.8.3 网易云音乐
com.tencent.xin 6.2.5 微信
com.tencent.mt2 1.10.5 我叫MT 2
com.gemd.iting 4.3.8 马拉雅FM
com.xiachufang.recipe 48 下厨房
cn.com.10jqka.ThreeBoard 1.01.01 新三板
com.simiao-internet.yaodongli 1.12.0 药给力
com.gaeagame.cn.fff 1.1.0 自由之

Apps promoten

Aufgrund des Unmuts, den XcodeGhost ausgelöst hat, veröffentlichte dessen Autor mittlerweile ein Entschuldigungsschreiben zusammen mit dem Quellcode. Ein Blick in den Quellcode verrät, dass dieser nicht nur Informationen absaugt, sondern auch Apps promoten kann. Opfer werden dazu auf die gewünschte App im Appstore hingeleitet. Außerdem lassen sich mit XcodeGhost Benachrichtigungen an die Anwender schicken, die für bösartige Zwecke wie Betrug oder Phishing missbraucht werden können.

XcodeGhost_Abbildung4

Abbildung 4: Auszug des veröffentlichten Quellcodes

Betroffene Länder und Regionen

Auf Basis unserer Monitoringdaten kommen wir zu dem Schluss, dass China von allen Ländern am meisten von XcodeGhost betroffen ist, dicht gefolgt von Nordamerika. Dies ist kein Wunder, wenn man bedenkt, dass etliche der bekanntermaßen infizierten Apps außerhalb Chinas verfügbar sind.

XcodeGhost_Abbildung5

Abbildung 5: Betroffene Länder

Die Trend Micro-Lösungen können Apps, die diesen bösartigen Code enthalten, entdecken. Der bei einer erfolgreich aufgespürten Infektion angezeigte Name lautet IOS_XcodeGhost.A.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.