iOS y OS X se cuentan desde hace tiempo entre los sistemas operativos más seguros, ya que se han dirigido a un número menor de virus y programas maliciosos que los sistemas operativos de la competencia. Mientras que el iOS sin hacer Jailbreak sigue siendo muy seguro gracias al jardín amurallado de Apple, los hackers han estado probando formas de penetrar en millones de dispositivos iOS que hay por ahí, y parece que han encontrado una forma de hacerlo. Un nuevo malware que está siendo apodado como XcodeGhost ha surgido de China, que utiliza el compilador OS X para entrar en las aplicaciones iOS. El malware almacena su código malicioso en el archivo objeto Mach-O que fue empaquetado en los instaladores de Xcode. Los hackers subieron estos instaladores al servicio de nube chino ejecutado por Baidu, para que los desarrolladores legítimos los descargaran, sin ser conscientes de que han sido infectados con código malicioso.
El inteligente malware de XcodeGhost infecta directamente las aplicaciones legítimas que se están desarrollando para dispositivos iOS en lugar de afectar a los propios dispositivos. Estas aplicaciones, una vez creadas, entran en el App Store y luego en los dispositivos del usuario, donde comienzan a tomar los datos privados del usuario y a cargarlos en un servidor remoto.
Dado que sólo los desarrolladores chinos han estado utilizando los instaladores infectados de Xcode, el hack sólo se encuentra en aplicaciones basadas en China, sin embargo, dado que algunos que incluyen WeChat Messenger yNetEase Cloud Music App han sido afectados, se sospecha que un gran número de dispositivos se han convertido en el objetivo de este malware.
La razón principal por la que estos desarrolladores obtuvieron versiones comprometidas de Xcode es porque obtuvieron sus copias de fuentes de terceros en lugar de descargar la herramienta Xcode desde el Mac App Store. La razón de esto puede ser debido al gran tamaño del software Xcode, los desarrolladores tratan de evitar descargarlo y en su lugar tienden a obtenerlo de otras fuentes, como por ejemplo de un amigo o de un sitio web no oficial más rápido que aloje dichos softwares.
El malware entra en acción cuando una aplicación infectada se inicia en un dispositivo iOS o se ejecuta en un simulador iOS. Una vez activo, el malware recopila la hora, el nombre de la aplicación, el identificador del paquete, el nombre y tipo del dispositivo actual, el idioma y país del sistema, el UUI y el tipo de red. Después de recoger estos datos, transfiere la información a un servidor remoto gestionado por los hackers.
Lo que hace que XcodeGhost sea particularmente peligroso es que ni siquiera requiere que los dispositivos se rompan para que les afecten. El malware también ha llegado a la App Store escondiéndose en aplicaciones legítimas, que fueron aprobadas por Apple. Si este hack es ampliamente utilizado en más aplicaciones que apuntan a la audiencia mundial o tienen clientes empresariales, los resultados pueden ser catastróficos.
El popular equipo de filtraciones Pangu ha lanzado una herramienta que permite a los usuarios comprobar si su dispositivo está afectado por el malware de XcodeGhost. Puede averiguar si su dispositivo está afectado o no.
Helena lleva una década escribiendo sobre tecnología y cyberseguridad en Uncoded Magacine. Se dio a conocer en la blogosfera cuando formó parte del equipo revelación de WikiLeaks. En la actualidad trabaja a caballo entre Madrid, Paris y Barcelona.
