WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
XcodeGhost lây nhiễm nhiều ứng dụng iOS 9 của Apple tại Mỹ
Mã độc XcodeGhost vốn chủ yếu đe dọa người dùng iOS tại Trung Quốc nay được tìm thấy trong nhiều ứng dụng được sử dụng tại Mỹ. Ngoài ra, các nhà nghiên cứu phát hiện thêm một biến thể của mã độc này có tên XcodeGhost S, lây nhiễm các ứng dụng iOS 9 và có thể vượt qua các cơ chế phát hiện.
XcodeGhost, được phát hiện trong tháng 9/2015 và là mã độc đầu tiên chứng minh rằng thiết bị iOS không bị jailbreak vẫn có thể bị lây nhiễm. Tin tặc xây dựng một phiên bản phần mềm phát triển ứng dụng Apple độc hại, có tên Xcode, sau đó tải phần mềm này lên dịch vụ lưu trữ đám mây Baidu Yunpan tại Trung Quốc.
Các bên phát triển “ngây thơ” đã sử dụng mã độc XcodeGhost này để viết ứng dụng và tải chúng lên App Store chính thức, không hề biết rằng những ứng dụng này đã bị nhiễm mã độc. Tổng cộng có đến hơn 4.000 ứng dụng kiểu này.
Apple đã loại bỏ những ứng dụng bị lây nhiễm khỏi App Store. Máy chủ C&C đã được tin tặc sở hữu chuyển sang chế độ offline nhưng vẫn có thể vẫn bị tấn công bởi những tin tặc khác và các nhà nghiên cứu phát hiện thấy XcodeGhost vẫn đang hoạt động.
Hãng FireEye cho biết do hầu hết các nhà phát triển ứng dụng bị ảnh hưởng là ở Trung Quốc nên đa số trong 4.000 ứng dụng bị lây nhiễm đều là các app phổ biển tại nước này. Tuy nhiên, nhiều ứng dụng cũng “khá phổ biến” tại Mỹ nên người dùng Mỹ cũng bị ảnh hưởng.
Trong khoảng thời gian 4 tuần, FireEye đã phát hiện 210 doanh nghiệp tại Mỹ sử dụng các ứng dụng bị lây nhiễm mã độc XcodeGhost, trên 28.000 lượt kết nối tới các máy chủ C&C. Các thiết bị bị ảnh hưởng gần đây chủ yếu liên lạc về các máy chủ tại Đức (62%) và Mỹ (33%).
FireEye cũng phát hiện một biến thể mới, XcodeGhost S, được update vào các ứng dụng độc hại cho iOS 9.
Các chức năng ngầm của XcodeGhost bao gồm khả năng qua mặt các công cụ phát hiện tĩnh bằng cách sử dụng kỹ thuật ghép nối ký tự. Wei cho hay kỹ thuật này khiến FireEye gặp khó khăn trong việc tìm ra những ứng dụng bị lây nhiễm XcodeGhost S hơn so với biến thể gốc. Đến nay hãng này mới chỉ tìm thấy 2 ứng dụng bị lây nhiễm XcodeGhost S và hy vọng sẽ tìm thấy nhiều hơn.
FireEye khuyến cáo người dùng nâng cấp lên phiên bản iOS mới nhất và upgrade các ứng dụng bị lây nhiễm càng sớm càng tốt để tránh bị tấn công.
Nguồn: Dark Reading
XcodeGhost, được phát hiện trong tháng 9/2015 và là mã độc đầu tiên chứng minh rằng thiết bị iOS không bị jailbreak vẫn có thể bị lây nhiễm. Tin tặc xây dựng một phiên bản phần mềm phát triển ứng dụng Apple độc hại, có tên Xcode, sau đó tải phần mềm này lên dịch vụ lưu trữ đám mây Baidu Yunpan tại Trung Quốc.
Các bên phát triển “ngây thơ” đã sử dụng mã độc XcodeGhost này để viết ứng dụng và tải chúng lên App Store chính thức, không hề biết rằng những ứng dụng này đã bị nhiễm mã độc. Tổng cộng có đến hơn 4.000 ứng dụng kiểu này.
Apple đã loại bỏ những ứng dụng bị lây nhiễm khỏi App Store. Máy chủ C&C đã được tin tặc sở hữu chuyển sang chế độ offline nhưng vẫn có thể vẫn bị tấn công bởi những tin tặc khác và các nhà nghiên cứu phát hiện thấy XcodeGhost vẫn đang hoạt động.
Hãng FireEye cho biết do hầu hết các nhà phát triển ứng dụng bị ảnh hưởng là ở Trung Quốc nên đa số trong 4.000 ứng dụng bị lây nhiễm đều là các app phổ biển tại nước này. Tuy nhiên, nhiều ứng dụng cũng “khá phổ biến” tại Mỹ nên người dùng Mỹ cũng bị ảnh hưởng.
Trong khoảng thời gian 4 tuần, FireEye đã phát hiện 210 doanh nghiệp tại Mỹ sử dụng các ứng dụng bị lây nhiễm mã độc XcodeGhost, trên 28.000 lượt kết nối tới các máy chủ C&C. Các thiết bị bị ảnh hưởng gần đây chủ yếu liên lạc về các máy chủ tại Đức (62%) và Mỹ (33%).
FireEye cũng phát hiện một biến thể mới, XcodeGhost S, được update vào các ứng dụng độc hại cho iOS 9.
Các chức năng ngầm của XcodeGhost bao gồm khả năng qua mặt các công cụ phát hiện tĩnh bằng cách sử dụng kỹ thuật ghép nối ký tự. Wei cho hay kỹ thuật này khiến FireEye gặp khó khăn trong việc tìm ra những ứng dụng bị lây nhiễm XcodeGhost S hơn so với biến thể gốc. Đến nay hãng này mới chỉ tìm thấy 2 ứng dụng bị lây nhiễm XcodeGhost S và hy vọng sẽ tìm thấy nhiều hơn.
FireEye khuyến cáo người dùng nâng cấp lên phiên bản iOS mới nhất và upgrade các ứng dụng bị lây nhiễm càng sớm càng tốt để tránh bị tấn công.
Nguồn: Dark Reading
Chỉnh sửa lần cuối bởi người điều hành: