Троян XCodeGhost S способен обходить обнаружение инструментами статического анализа


FireEyeКак сообщают в SecurityLab, в сентябре 2015 года в App Store были обнаружены программы, зараженные трояном XcodeGhost. Данная атака стала самой масштабной в истории магазина приложений Apple. Она затронула преимущественно пользователей в Китае. По данным же исследователей из FireEye, новый, еще более сложный вариант трояна осуществляет инфицирование устройства пользователей в Европе и США.

По заявлению экспертов, XCodeGhost S поражает приложения для iOS 9. Кроме того, он намного лучше своих собратьев обходит обнаружение инструментами статического анализа. Так, за четыре недели исследователи из FireEye определили 210 предприятий на территории США, где использовались инфицированные приложения. Эти приложения, в общей сложности, предприняли 28 тыс. попыток связаться с C&C-серверами. Большинство зараженных систем, пытавшихся связаться с серверами, располагаются в:

  • Германии - 62%;
  • США - 33%.


Интересно и то, что XCodeGhost S использовался параллельно с оригинальным XcodeGhost. В результате анализа обоих вредоносов удалось установить, что за их созданием стоит один и тот же автор. Однако не исключено, что нынешние атаки с использованием данного трояна - это дело рук совсем других киберпреступников.

В отличие от оригинального XCodeGhost, XCodeGhost S способен обходить обнаружение инструментами статического анализа. Для этих целей он использует конкатенации символов, существенно усложняющие процесс поиска инфицированных приложений.

На момент написания статьи исследователями было выявлено только две зараженные программы. Однако не исключено, что в действительности их может быть гораздо больше.


Обновлено (06.11.2015 22:52)