El motivo es que estas aplicaciones fueron hechas sobre una herramienta XCode para desarroladores iOS, esta herramienta incluye el SDK de iOS; el IDE de Xcode para codificación, desarrollo y depuración de aplicaciónes; Interface Builder para diseñar la interfaz de usuario, e Instruments para analizar el comportamiento y el desempeño, además de decenas de herramientas adicionales.
PERO !!!!! esta herramienta XCode infectada, no era la tradicional, sino una donde se ofrecían varias ventajas y mayores lineas de codigo, esta herramienta era conocida como XCodeGhost, y estaba alojada en un servicio de archivos compartidos llamada Baidu Yunpan registrado en China.
Esta variante, secretamente extraía informacion del usuario y era enviada a servidores de atacantes sin que los usuarios sepan de esto. La información era capturada en el momento en que se enviaba informacion desde la aplicación cliente infectada hacia sus servidores.
Entre las aplicaciones infectadas mas conocidas figuran: WeChat, Uber-like, Didi Kuaidi, NetEase, Perfect365 , CamCard, estas principalmente en China, y fuera de ese pais las aplicaciones Winzip, Musica.ly, Mercury browser están entre las afectadas.
Una vez la aplicacion instalada, sucede lo siguiente:
- Phishing de passwords, credenciales y datos.
- Hihack URLs.
- Contagio a otras Apps