Μια λίστα 25 εφαρμογών που αναπτύχθηκαν στους μολυσμένους κόλπους του XCodeGhost αναρτά η Apple στον κινέζικο δικτυακό της τόπο, καλώντας τους χρήστες να τις απεγκαταστήσουν. Το κακόβουλο λογισμικό είχε μολύνει μια έκδοση του εργαλείου ανάπτυξης εφαρμογών της Apple και διατέθηκε στην κινέζικη υπηρεσία φιλοξενίας αρχείων στο cloud, Baidu.
Στην λίστα των app περιλαμβάνεται η δημοφιλής εφαρμογή WeChat, το Didi app για την ανεύρεση ταξί, το app συζητήσεων Encounter, το app διάθεσης μουσικής της Baidu και η εφαρμογή εξυπηρέτησης πελατών της China Unicorn.
H Apple δηλώνει ότι έχει αφαιρέσει τα app από το App Store που αναγνωρίζει ότι έχουν αναπτυχθεί με το μολυσμένο εργαλείο και μπλοκάρει αιτήματα εισόδου στο κατάστημα εφαρμογών της εφαρμογών που περιέχουν το malware. Επίσης, βεβαιώνει τους χρήστες ότι εάν οποιοδήποτε από τα αναφερόμενα στην λίστα app παραμένει στις προθήκες του App Store, είναι ανανεωμένο, δηλαδή δεν είναι επικίνδυνο. Οι πληροφορίες που έχουν δώσει εταιρείες ασφαλείας λένε ότι το κακόβουλο λογισμικό υποκλέπτει και στέλνει σε έναν διακομιστή «κέντρο επιχειρήσεων» πληροφορίες για τις συσκευές και τους χρήστες και μπορεί να οδηγήσει αυθαίρετα σε διαδικτυακές διευθύνσεις. Πάντως, το κέντρο command-and-control του XCodeGhost έχει πέσει. Εντούτοις, τα επίμαχα μολυσμένα app επιχειρούν την επικοινωνία, χωρίς κρυπτογράφηση (http), λένε οι ερευνητές, γεγονός που τις καθιστά ευάλωτες σε προσπάθειες κατάληψης από άλλους επιτιθέμενους.
Θωρακίζοντας το σύστημά της μετά τον πρωτότυπο τρόπο παράκαμψης των μεθόδων ασφαλείας στο App Store, η Apple παραπέμπει τους προγραμματιστές στην διεύθυνση https://developer.apple.com/news/?id=09222015a όπου μπορούν να εξετάσουν την αυθεντικότητα του Xcode που χρησιμοποιούν.
Ανησυχητικό είναι το γεγονός ότι δεν συμφωνούν όλοι με την καταμέτρηση της Apple και ως εκ τούτου στην έκταση του προβλήματος. Η εταιρεία ανάπτυξης λογισμικού και υπηρεσιών ασφαλείας FireEye αναφέρεται σε χιλιάδες μολυσμένα apps, και εκτιμά ότι πρόκειται για 4.000 apps. Το γεγονός ότι μπορούν να οδηγήσουν αυθαίρετα σε δικτυακούς τόπους κατ’εντολή του κέντρου επιχειρήσεων σημαίνει ότι μπορεί να παραπέμπει σε πλαστούς δικτυακούς τόπους για υποκλοπή ευαίσθητων στοιχείων, όπως στοιχεία εισόδου σε e-banking, προειδοποιεί η FireEye.
