La amenaza XcodeGhost está lejos de terminar y los usuarios de iOS están todavía en peligro por desconocer las aplicaciones infectadas, advierten investigadores de FireEye.

"Después de monitorear la actividad relacionada con XcodeGhost durante cuatro semanas, se detectaron 210 empresas estadounidenses con aplicaciones infectadas por XcodeGhost corriendo dentro de sus redes, estas generaron más de 28 mil intentos de conexión a los servidores Command and Control de XcodeGhost (C&C), que mientras no se encuentren bajo el control del atacante, son vulnerables a ataques de hijacking por agentes amenazantes", según señalaron.

Estas organizaciones operan en una amplia gama de industrias, pero la mayoría de ellas están en educación, alta tecnología, manufactura y telecomunicaciones. Los servidores C&C a los que las aplicaciones maliciosas intentan conectarse se encuentran principalmente en Alemania y Estados Unidos.

La amenaza XcodeGhost surge al implantar versiones maliciosas del framework de desarrollo Xcode de Apple en foros de desarrolladores chinos. Las aplicaciones creadas bajo este framework fueron troyanizadas con eficacia, además de poder evadir la revisión de código de la App Store.

Estas aplicaciones, que fueron capaces de obligar a los usuarios a navegar por URL específicas, mostraban al usuario ventanas de phishing (por ejemplo, phishing para credenciales de iCloud), leer y escribir datos en el portapapeles del usuario, recolectar información del dispositivo, aplicaciones, información de red y más.

Apple ha reaccionado ante la amenaza mediante la eliminación de aplicaciones infectadas en la App Store y alertando a los desarrolladores y usuarios al respecto. Apple ha ayudado a los desarrolladores a hacer el cambio a la versión oficial del framework de Xcode y han comenzado a bloquear apariciones de nuevas aplicaciones que contienen el malware.

Pero todo eso no fue suficiente para detener la infección por completo, ya que muchos usuarios siguen utilizando activamente versiones anteriores de varias aplicaciones infectadas, sobre todo WeChat de Tencent y la popular aplicación china alternativa a Spotify, NetEase Cloud Music.

Y según los investigadores, todavía hay otras aplicaciones de iOS infectadas que han sido reempaquetadas con una variante más reciente del framework malicioso (XcodeGhost S).

Este cambio permite a las aplicaciones maliciosas eludir la conexión segura (HTTPS en lugar de HTTP) requisito añadido en iOS 9, para que puedan comunicarse con su servidor C&C. Además, el dominio del C&C ya no está codificado en el malware, si no que se ensambla mediante la concatenación de caracteres. Esto permite prevenir a la aplicación de ser detectada como maliciosa por herramientas de detección estáticas.