XcodeGhost: un malware per le app di App Store

Il malware supera le rigide barriere di Apple e sbarca su App Store. È quanto hanno rivelato la scorsa settimana gli esperti di Palo Alto Networks, nell’identificare la minaccia XcodeGhost. A quanto pare, diversi developer di applicazioni per iOS avrebbero utilizzato una versione non ufficiale di Xcode, la piattaforma di sviluppo per i dispositivi portatili targati mela morsicata, con il risultato di una cinquantina di applicazioni infette. La società di Cupertino è già intervenuta direttamente, eliminando dal negozio virtuale le applicazioni coinvolte dal malware.

Il malware XcodeGhost è emerso la scorsa settimana, a seguito di alcune pubblicazioni sul social network cinese Sina Weibo. La minaccia è stata quindi confermata dalla società di sicurezza Palo Alto Networks che, da diversi giorni, aggiorna il proprio sito ufficiale con informazioni utili sul software malevolo. A quanto pare, diversi sviluppatori avrebbero fatto ricorso a una versione non ufficiale di Xcode, la piattaforma fornita da Apple ai developer di terze parti e usata per programmare applicazioni sia per iOS che per OS X. Così, del codice malevolo si sarebbe diffuso all’insaputa degli stessi sviluppatori, varcando le soglie di App Store. Una cinquantina di app, per la maggior parte cinesi seppur con qualche nome famoso, sarebbero state coinvolte, così come riporta il forum di MacRumors nel pubblicarne una prima lista completa.

Così come riporta Il Sole 24 Ore, Apple ha già provveduto all’eliminazione di queste applicazioni dallo Store, accertandosi che gli sviluppatori ricorrano solo a versioni ufficiali, e direttamente distribuite dalla Mela, di Xcode. Così ha confermato la portavoce Christine Monaghan in una mail:

Abbiamo rimosso dall’App Store le app che abbiamo scoperto essere state create con il software contraffatto. Stiamo lavorando con gli sviluppatori per assicurarci che venga usata la versione corretta di Xcode per riscrivere le app oggetto di attacco.

Così come riporta Palo Alto Network, le versioni di Xcode contraffatte sarebbero la 6.1 e la 6.4, mentre al momento la conoscenza dei possibili effetti dell’infezione non è ancora completa. Pare che XcodeGhost possa raccogliere alcuni dati dell’utente per inoltrarli a un server remoto, anche forse con tecniche di phishing e fake alert per coglierne le password. A oggi, inoltre, non è dato ben sapere perché alcuni sviluppatori abbiano preferito scaricare delle versioni di Xcode da server diversi da quelli Apple, incappando così loro malgrado nel software malevolo. Secondo un’interpretazione pubblicata da 9to5Mac, non si esclude che diversi developer cinesi abbiano preferito server locali per godere di una maggiore velocità di scaricamento.