Malware Xcode Ghost


Minggu lalu Claud Xiao peneliti keamanan dari palo alto network mengumumkan penemuan malware yang menginfeksi puluhan apps di apple store. Malware ini dinamakan xcode Ghost. Malware Xcode Ghost ini menginfeksi compiler Xcode yang digunakan untuk membuat apps di iOS, apps di Mac OS X apps, ekstensi Safari dll.

Apps yang banyak terinfeksi berasal dari Cina. Jadi ceritanya di Cina mengunduh Xcode dari server Apple memerlukan waktu  yang cukup lama. Sehingga para developer di Cina sudah terbiasa untuk mengunduh compiler Xcode ini dari server pihak ketiga (bukan server apple). Nah ternyata ada orang yang mengupload Xcode palsu yang sudah dimodifikasi di server Baidu. Xcode palsu ini kemudian digunakan untuk mengcompile berbagai macam apps. Apps-apps ini lah yang terinfeksi dengan berbagai kode jahat. Diantaranya dapat mengumpulkan informasi dari perangkat korban dan mengirim ke sebuah server.

Infeksi pada compiler memang berbahaya, karena semua aplikasi yang dicompile akan disusupi kode jahat. Infeksi jenis ini merupakan sebuah hal yang baru pada Mac. Yang membuat heboh karena apps-apps yang terinfeksi kode jahat ini berhasil lolos dari proses verifikasi security di app-store Apple. Apple dikenal melakukan proses verifikasi yang cukup ketat sebelum aplikasi dapat diunggah di app store.

Kebanyakan apps yang terinfeksi adalah apps lokal Cina, tapi ada juga apps seperti WeChat. Para peneliti telah melakukan scanning terhadap berbagai apps di apple store dan telah mengumpulkan list apps yang terinfeksi. Daftarnya bisa dilihat pada link berikut:

http://researchcenter.paloaltonetworks.com/2015/09/malware-xcodeghost-infects-39-ios-apps-including-wechat-affecting-hundreds-of-millions-of-users/

http://bgr.com/2015/09/21/app-store-hack-iphone-malware-apps-list/

Bila anda terlanjur menginstall apps tersebut sebaiknya segera dihapus. Atau kalau mau lebih bersih lagi bisa lakukan reset to factory setting. Yang menarik ternyata ada orang yang mengaku membuat malware ini, kemudian mengupload source codenya di link github berikut https://github.com/XcodeGhostSource/

Beberapa bahan bacaan tentang malware ini

http://www.macrumors.com/2015/09/20/xcodeghost-chinese-malware-faq/

http://researchcenter.paloaltonetworks.com/2015/09/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store/

http://researchcenter.paloaltonetworks.com/2015/09/update-xcodeghost-attacker-can-phish-passwords-and-open-urls-though-infected-apps/

https://blog.malwarebytes.org/mac/2015/09/xcodeghost-malware-infiltrates-app-store/

Paper Patrick Wardle tentang ancaman serangan menggunakan teknik dynamic library hijacking attack

https://www.virusbtn.com/pdf/magazine/2015/vb201503-dylib-hijacking.pdf

Semoga bermanfaat!

One thought on “Malware Xcode Ghost”

Silahkan tuliskan tanggapan, kritik maupun saran

This site uses Akismet to reduce spam. Learn how your comment data is processed.