通過重新打包Xcode并引誘開發者下載的方式,XcodeGhost惡意軟件已經感染了無數iOS應用。然而在近期的一次升級之后,它已經將目標瞄向了iOS 9和更多美機構用戶。這項發現由FireEye研究人員所披露,其將新版惡意如今稱作XcodeGhost S,因為它已經可以感染最新的iPhone 6s系列機型。
FireEye指出,新版XcodeGhost已明確升級,以支持iOS 9中新增的特性。與此同時,它還增加了新的機制,已避免自己被檢測到。
特別的,XcodeGhost S已被修改規避HTTPS通訊的限制。作為iOS 9上的強制性要求,它原本可以阻絕XcodeGhost與命令控制服務器(C&C Server)之間的傳輸。
此外,為了避免被基于靜態檢測的安全工具所發現,XcodeGhost現已通過一種新穎的技術來掩蓋其C&C服務器。其代碼中不再使用硬編碼地址,而是轉而采用了按字符來組裝的URL。
受XcodeGhost影響的組織分布。
FireEye表示,App Store至少已經有一款新應用已經被感染了XcodeGhost S。這款應用的名稱叫做“自由邦”,作為一款購物app,其主要面向美國和中國用戶,不過這家公司已經配合蘋果將之撤下。
除了新版XcodeGhost S,FireEye還發現舊版XcodeGhost已經將目光瞄向了美國的企業,受影響的機構集中在教育、高科、制造、通信、電商、以及金融等領域。
FireEye團隊總結道:“盡管大多數供應商已經升級了App Store上的應用,但也有數據表明仍有不少活躍用戶在使用舊版受感染的應用版本,且它們分布與各個領域”。
京公網安備 11010502049343號