Onderzoekers hebben een nieuwe variant van de XcodeGhost-malware ontdekt die iOS-ontwikkelaars probeert te infecteren, zodat ze besmette apps in de officiële Apple App Store plaatsen. Daarnaast zijn er ruim 200 bedrijven wereldwijd, waaronder in Nederland, waar besmette iOS-gebruikers rondlopen.

XcodeGhost wordt verspreid via besmette versies van Xcode, de officiële tool van Apple voor het ontwikkelen van iOS-applicaties. Vanwege de grootte, het programma is 4GB groot, kiezen sommige ontwikkelaars in China ervoor om Xcode niet via de website van Apple, maar via onofficiële downloadsites te downloaden. De Xcode op deze websites was voorzien van de XcodeGhost-malware. De apps die de ontwikkelaars maakten raakten hierdoor ook besmet.

Na de ontdekking van de besmette apps in de App Store besloot Apple die te verwijderen en trof maatregelen zodat Chinese iOS-ontwikkelaars het progamma eenvoudiger kunnen downloaden. Hoewel de getroffen iOS-ontwikkelaars nieuwe, schone apps hebben aangeleverd, zijn er nog steeds gebruikers die de besmette versies blijven gebruiken. Het gaat onder andere om de populaire chat-app WeChat.

Verder blijken gebruikers met besmette iOS-apps ook binnen bedrijven rond te lopen. Beveiligingsbedrijf FireEye ontdekte 210 bedrijven waar besmette apps naar buiten probeerden te communiceren. Vier van deze bedrijven bevinden zich in Nederland. De meeste bedrijven bevinden zich echter in Duitsland en de Verenigde Staten.

Nieuwe versie

Tevens is er een nieuwe versie van XcodeGhost in onofficiële versies van Xcode 7 ontdekt. Dit is de Xcode-versie voor iOS 9. In deze versie zijn nieuwe features toegevoegd om iOS 9 te infecteren en statische detectie door Apple te omzeilen. Tevens is er één app ontdekt die via de nieuwe XcodeGhost-malware besmet was geraakt en in de Apple App Store is terechtgekomen. Het gaat om een Chinese shopping-app die ook in de Amerikaanse store werd aangeboden. Apple heeft de app inmiddels verwijderd.