esetnod32 Sep 22 2015 at 13:25

XcodeGhost — malware apocalypto для iOS

2 min

12K

ESET NOD32 corporate blogInformation Security*

+11

Comments 7

PapaBubaDiop Sep 22 2015 at 13:55

Текущий идентификатор UUID

Если разработчик не сказал, что он использует UUID, то приложение не пройдет проверку.

Pr0Ger Sep 22 2015 at 14:38

Нет, из скриншота видно что берется identifierForVendor, а не advertisingIdentifier, для его запроса ничего не нужно, ибо с помощью этого айди эта малварь находясь в приложениях от разных разработчиков даже не сможет этого понять

YHVHvx Sep 22 2015 at 15:27

антивирусные продукты ESET обнаруживают вредоносное ПО XcodeGhost как iOS/XcodeGhost (F-Secure: Backdoor:iPhoneOS/XCodeGhost.A, Sophos: iPh/XcdGhost-A, Symantec: OSX.Codgost).

esetnod32 все это так, но вот антивируса вашего под iOS ведь не существует. Под iOS я вообще не видел не одного авера. Замечу также, что пользователь будет ставить вредоносное ПО прямиком из App Store, а не с компа с вашим AV.
P.S.: Тут вот сорсы для более наглядного изучения выложили: github.com/XcodeGhostSource/XcodeGhost

grokinn Sep 22 2015 at 18:21

Если eset-ом проверить папку Mobile Applications от iTunes на компьютере после бекапа телефона он будет обнаруживать вирус?

not_ice Sep 22 2015 at 21:20

Написано же, что заражённые приложения не содержат в себе вирусов в классическом понимании, а занимаются только сбором статистики (т.е. с натяжкой тянут на троянов). Если бы внедрялось что-то более серьезное, фиг бы такие приложения прошли модерацию в Аппсторе.

grokinn Sep 22 2015 at 21:21

Ну по сигнатуре то их все равно можно вычислить. Или нельзя, собственно в том то и вопрос.

not_ice Sep 22 2015 at 21:38

Это вопрос — добавили ли есет сигнатуры. А эвристикой там вряд ли можно за что то зацепиться )