Los investigadores de seguridad advierten sobre una nueva pieza de malware dirigida específicamente a los desarrolladores de iOS. Conocido como XcodeSpy, el malware es una versión troyana de una aplicación legítima.
XcodeSpy: Proyecto Xcode troyano dirigido a desarrolladores de iOS
Los investigadores de Sentinel Labs se dieron cuenta recientemente de un proyecto de Xcode con troyanos dirigido a desarrolladores de iOS. El proyecto es una versión maliciosa de un legítimo, proyecto de código abierto disponible en GitHub, permitiendo a los programadores de iOS utilizar varias funciones avanzadas para animar la barra de pestañas de iOS.
Según Sentinel Labs informe, XcodeSpy se ha cambiado para ejecutar un script de ejecución ofuscado una vez que se lanza el objetivo de compilación del desarrollador.. El propósito del script es contactar al servidor de comando y control de los atacantes., y suelte una variante personalizada de la puerta trasera EggShell en la maquina. Para lograr la persistencia en el host infectado, el malware instala un agente de inicio de usuario. El malware también puede registrar información del micrófono., cámara, y teclado.
“El vector de infección XcodeSpy podría ser utilizado por otros actores de amenazas, y se recomienda a todos los desarrolladores de Apple que utilicen Xcode que tengan cuidado al adoptar proyectos compartidos de Xcode,"Advirtieron los investigadores en su informe.
Dos variantes de la carga útil descubiertas
Los investigadores descubrieron dos variantes de la carga útil de la puerta trasera, ambos contienen una serie de URL de comando y control encriptadas y cadenas encriptadas para varias rutas de archivo. “Una cadena cifrada en particular se comparte entre el proyecto Xcode manipulado y las puertas traseras personalizadas, vincularlos como parte de la misma campaña "XcodeSpy","Sentinel Labs dijo.
Además, el malware XcodeSpy puede abusar de una función incorporada del IDE de Apple que permite a los desarrolladores ejecutar un script de shell personalizado. La técnica se puede identificar fácilmente; sin embargo, Es posible que los desarrolladores sin experiencia no sean conscientes de que la función Ejecutar secuencia de comandos los pone en riesgo de ejecutar la secuencia de comandos maliciosa..
Al menos una organización estadounidense ha sido blanco de estos ataques.. Los desarrolladores de Apple en Asia también pueden estar en riesgo.
Se cargaron muestras de las puertas traseras en VirusTotal en agosto 5 y octubre 13 el año pasado, mientras que el malware XcodeSpy se cargó por primera vez en septiembre 4. Laboratorios Sentinal, sin embargo, creen que los atacantes pueden haber subido las muestras para probar las tasas de detección.
En 2019, un el malware XcodeGhost fue detectado en la naturaleza. También era una versión modificada de un entorno de desarrollo real., diseñado para aparecer como el programa real sin dar señales de que se trataba de una cepa peligrosa.