企業内で生き残るXcodeGhost感染アプリ、XcodeGhost自体も進化

9月に話題となった改変版Xcode「XcodeGhost」だが、FireEyeの調べによると現在も210の企業内ネットワークからXcodeGhostで作成されたiOSアプリとC&Cサーバーとの通信が確認されているそうだ。また、XcodeGhost自体もiOS 9に対応したXcode 7ベースに進化しているとのこと(FireEyeのブログ記事、PCWorldの記事、9to5Macの記事、Softpediaの記事)。

XcodeGhostで生成したiOSアプリにはAppleのコードレビューで発見されない悪意のあるコードが仕込まれ、9月には1,000本近い感染アプリがApp Storeで公開されていた。Appleでは感染の判明したアプリを削除し、多くの開発者が正規のXcodeで作成したバージョンに更新を行っているが、アプリを更新せずに感染したまま使い続けている人もいるようだ。検出件数の大半を占めるのが既に修正版の提供されている「WeChat」と「网易云音乐」の未修正バージョンとなっている。

4週間で企業内ネットワークからC&Cサーバーへの接続試行が28,000回以上検出されており、検出数が多いのはドイツ(62%)、米国(33%)、フランス(3%)、オランダ(2%)、日本(0.09%)の5か国。C&Cサーバーは攻撃者の管理下にはないが、脆弱性があるため簡単に攻撃者が乗っ取り可能な状態とのこと。C&Cサーバーとの接続で可能になる動作としては、App Store以外からアプリを配布することやURLを開かせること、App Storeのダウンロードページを直接開いて任意のアプリを宣伝すること、フィッシング詐欺のウィンドウを開くことが確認されている。

FireEyeが「XcodeGhost S」と呼ぶXcode 7ベースのXcodeGhostは、iOS 9のセキュリティ機能を迂回してC&Cサーバーに接続可能なアプリを生成する。iOS 9のデフォルトではアプリとサーバーの接続にはHTTPSが必須となっているが、C&Cサーバーのドメインを例外に設定することでHTTPでの接続を可能にする。さらに、C&Cサーバーのドメイン名をハードコードせず、コード内で構築する仕組みにすることで静的な検出を防ぐという。XcodeGhost Sで作成したアプリはApp Storeで既に1本発見されており、FireEyeの通知によりAppleが削除しているとのこと。なお、このアプリ「自游邦」は修正バージョンが公開されているようだ。　スラドのコメントを読む | アップルセクション | セキュリティ | ソフトウェア | アップル | デベロッパー | iOS | ワーム

　関連ストーリー：
iOS 9のリモート脱獄報奨金プログラム、1チームが100万ドルを獲得 2015年11月06日
Apple、個人情報を盗むアプリを大量削除 2015年10月22日
iOS 9に対応したjailbreakツールが公開される 2015年10月19日
Apple、独自のルート証明書をインストールするiOSアプリをApp Storeから削除 2015年10月11日
Apple、XcodeGhost問題を受けて中国国内のサーバーでXcodeを提供する計画 2015年09月26日
パスコードロックされたiOS 9で連絡先や写真を閲覧可能なバグ 2015年09月23日
iOS 9へのアップグレード、一部で端末が文鎮化 2015年09月23日
XcodeGhostによるApp Store初の大規模感染、1,000本近いアプリに影響か 2015年09月22日
XcodeGhost、Appleのコードレビューでも発見されないマルウェア感染iOSアプリを生成 2015年09月21日
Google、iOS 9のセキュリティー機能を無効にする手順をアプリ開発者に紹介 2015年08月30日