بدافزار XcodeGhost به‌روز‌رسانی شد؛ کاربران iOS ۹ هم در خطر هستند

نسخه‌‌‌ی جدیدی از بدافزار XcodeGhost به‌تازگی مشاهده شده که از جدید‌ترین نسخه‌ی iOS یعنی iOS ۹ هم پشتیبانی می‌کند و تکنیک‌های مبهم‌سازی کد در آن اضافه شده است که شناسایی آن را توسط ضدبدافزار‌ها سخت‌تر می‌کند.
سامانه‌عامل iOS ۹ چند هفته‌ای است که معرفی شده و برخی قابلیت‌های امنیتی در آن افزوده‌ شده است که به صورت پیش‌فرض فقط اجازه‌ی ارتباط HTTPS رمز‌شده را می‌دهد، به همین دلیل نسخه‌های قدیمی‌تری XcodeGhost که از ارتباط HTTP استفاده می‌کردند در iOS ۹ فعال نمی‌شوند.
پژوهش‌گران آزمایشگاه امنیتی FireEye می‌گویند نسخه‌ی جدیدی از بدافزار XcodeGhost را شناسایی کرده‌اند که از یک آسیب‌پذیری در iOS ۹ استفاده کرده و امکان ایجاد ارتباط رمز‌نشده‌ی HTTP و سپس اتصال به کارگزار فرمان‌دهی و کنترل بدافزار را فراهم می‌کند. این پژوهش‌گران نمونه‌هایی از نسخه‌ی جدید بدافزار و گزارش تحلیل آن‌ را به مسئولان امنیتی iOS در شرکت اپل ارسال کرده‌اند.
جزییات بدافزار
بدافزار XcodeGhost اولین بار در سپتامبر سال گذشته‌ی میلادی و در انجمن‌های نفوذ چین مشاهده شده است. در واقع نفوذگران چینی با انتشار نسخه‌ی آلوده‌ای از مجموعه‌ نرم‌افزار‌های Xcode که توسط اپل برای توسعه‌دهندگان منتشر می‌شود، از نرم‌افزار‌های توسعه‌یافته توسط نسخه‌ی جعلی Xcode سوء‌استفاده می‌کردند و آن‌ها را آلوده می‌کرند. این نرم‌افزار‌ها توسط پویش‌گرهای کشف بدافزار اپل شناسایی نمی‌شدند و به فروشگاه رسمی اپل راه پیدا می‌کردند.
به گفته‌ی پژوهش‌گران FireEye نسخه‌ی به‌روز‌شده‌ی XcodeGhost از نسخه‌ی جدید‌تر Xcode استفاده می‌کند که برای iOS ۹ منتشر شده است. برخی از نرم‌افزار‌های مهم از جمله WeChat آلوده به این بدافزار هستند و اپل آن‌ها را از فروشگاه رسمی خود حذف کرده است.
در ابتدا تصور می‌شد این بدافزار پس از نصب فقط اطلاعات کاربر را به سرقت می‌برد و آن‌ها را برای یک کارگزار فرمان‌دهی و کنترل متعلق به مهاجم ارسال می‌نماید. اما با بررسی ترافیک دستگاه‌های آلوده مشخص شد که این بدافزار پس از ارسال اطلاعات،‌ یک پرونده‌ی JSON رمز‌شده از کارگزار دریافت می‌کند که به دنبال اطلاعات محرمانه‌ی ورود به حساب‌های کاربری از جمله حساب‌هی بانکی است و هم‌چنین به دنبال سایر آسیب‌پذیری‌های دستگاه برای سوء‌استفاده می‌باشد.
پژوهش‌گران FireEye می‌گویند از سال گذشته که XcodeGhost شناسایی شده است، در حدود ۲۱۰ نرم‌افزار آلوده را شناسایی کرده‌اند و از بین مشتریان آن‌ها ۲۸ هزار تلاش برای ارتباط با کارگزار این بدافزار صورت گرفته است که در حدود ٪۶۲ از قربانیان از کشور آلمان بوده‌اند.
آن‌ها می‌گویند نرم‌افزار‌های آلوده فقط متعلق به کاربران چینی نیست و مهاجمان موفق شده‌اند نرم‌افزار‌های زیادی را در سراسر جهان منتشر نمایند. هر قربانی که یکی از نرم‌افزار‌های آلوده را در دستگاه خود نصب نماید آلوده به بدافزار XcodeGhost می‌شود. کاربرانی که دستگاه‌های خود را جیل‌برک کرده‌اند در خطر بیش‌تری هستند.
به کاربران توصیه می‌شود فقط ار فروشگاه‌های رسمی اپل نرم‌افزار‌های مورد نیاز خود را دریافت نمایند تا از خطر دریافت برنامه‌های جعلی و آلوده به بدافزار XcodeGhost در امان باشند.

منبع: asis