Мир: Обнаружен новый вариант трояна XcodeGhost

0

В сентябре нынешнего года в App Store были обнаружены вредоносные программы, зараженные трояном XcodeGhost. Самая масштабная атака в истории магазина приложений Apple затронула преимущественно пользователей в Китае. Тем не менее, по данным исследователей из FireEye, новый, еще более сложный вариант трояна инфицирует устройства пользователей в Европе и США.


Как сообщили эксперты, XCodeGhost S поражает приложения для iOS 9 и способен намного лучше обходить обнаружение инструментами статического анализа. В течение четырех недель исследователи из FireEye определили 210 предприятий на территории США, где использовались инфицированные приложения, которые в общей сложности предприняли 28 тыс. попыток связаться с C&C-серверами. Большинство зараженных систем (62%), пытавшихся связаться с серверами, находятся в Германии. Вторую позицию занимают США (33%).

По словам экспертов, XCodeGhost S использовался параллельно с оригинальным XcodeGhost, и за их созданием стоит один и тот же автор. Однако не исключено, что за теперешнюю активность трояна ответственны другие. Как сообщает издание Dark Reading, 19 сентября, через два дня после того, как стало известно о XCodeGhost, неизвестный опубликовал в Twitter извинение за распространение вредоноса. Он заявил, что это был всего лишь эксперимент в ходе исследования потенциальных брешей в инструменте XCode, которые можно было бы использовать для доставки рекламы.

ИБ-эксперт из ThreatBook Labs Хон Цзя (Hong Jia) сообщила Dark Reading, что не верит в правдивость этого извинения, поскольку возможности трояна обходить инструменты обнаружения намного шире, чем об этом говорил неизвестный.

В отличие от оригинального XCodeGhost, XCodeGhost S способен обходить обнаружение инструментами статического анализа с помощью конкатенации символов, что существенно усложняет процесс поиска инфицированных приложений. До настоящего времени исследователи обнаружили только две зараженные программы, но в действительности их может быть гораздо больше. (FireEye/NovostIT)