Sikkerhedsforskere advarer om et nyt malware-stykke specifikt rettet mod iOS-udviklere. Kendt som XcodeSpy, malware er en trojaniseret version af en legitim app.
XcodeSpy: Trojaniseret Xcode-projekt målrettet mod iOS-udviklere
Sentinel Labs-forskere blev for nylig opmærksomme på et trojaniseret Xcode-projekt målrettet mod iOS-devs. Projektet er en ondsindet version af en legitim, open source-projekt tilgængeligt på GitHub, gør det muligt for iOS-programmører at bruge flere avancerede funktioner til animering af fanebladet iOS.
Ifølge Sentinel Labs rapport, XcodeSpy er blevet ændret til at udføre et tilsløret køreskript, når udviklerens build-mål er lanceret. Scriptets formål er at kontakte angribernes kommando-og-kontrol-server, og slip en brugerdefineret variant af EggShell bagdøren på maskinen. For at opnå vedholdenhed på den inficerede vært, malware installerer en bruger Launch Agent. Malwaren kan også registrere oplysninger fra mikrofonen, kamera, og tastatur.
”XcodeSpy-infektionsvektoren kunne bruges af andre trusselsaktører, og alle Apple-udviklere, der bruger Xcode, rådes til at udvise forsigtighed, når de vedtager delte Xcode-projekter,”Advarede forskerne i deres rapport.
To opdagede varianter af nyttelasten
Forskerne opdagede to varianter af bagdørens nyttelast, begge indeholder et antal krypterede kommandostyrings-URL'er og krypterede strenge til forskellige filstier. ”Især en krypteret streng deles mellem det doktrerede Xcode-projekt og de brugerdefinerede bagdøre, forbinder dem sammen som en del af den samme 'XcodeSpy' kampagne,”Sagde Sentinel Labs.
Endvidere, XcodeSpy-malware kan misbruge en indbygget funktion i Apples IDE, der tillader udviklere at køre et brugerdefineret shell-script. Teknikken kan let identificeres; dog, uerfarne udviklere er muligvis ikke opmærksomme på funktionen Run Script, der sætter dem i fare for at udføre det ondsindede script.
Mindst en amerikansk organisation er blevet målrettet af disse angreb. Apple-udviklere i Asien kan også være i fare.
Prøver af bagdørene blev uploadet til VirusTotal i august 5 og oktober 13 sidste år, mens XcodeSpy-malware først blev uploadet i september 4. Sentinal Labs, dog, mener, at angriberne muligvis har uploadet prøverne for at teste detektionsfrekvenser.
I 2019, en XcodeGhost-malware blev opdaget i naturen. Det var også en modificeret version af et ægte udviklingsmiljø, designet til at virke ligesom det rigtige program uden at give tegn på, at det var en farlig stamme.