通過重新打包Xcode并引誘開發(fā)者下載的方式，XcodeGhost惡意軟件已經(jīng)感染了無數(shù)iOS應(yīng)用。然而在近期的一次升級(jí)之后，它已經(jīng)將目標(biāo)瞄向了iOS 9和更多美機(jī)構(gòu)用戶。這項(xiàng)發(fā)現(xiàn)由FireEye研究人員所披露，其將新版惡意如今稱作XcodeGhost S，因?yàn)樗呀?jīng)可以感染最新的iPhone 6s系列機(jī)型。

FireEye指出，新版XcodeGhost已明確升級(jí)，以支持iOS 9中新增的特性。與此同時(shí)，它還增加了新的機(jī)制，已避免自己被檢測(cè)到。

特別的，XcodeGhost S已被修改規(guī)避HTTPS通訊的限制。作為iOS 9上的強(qiáng)制性要求，它原本可以阻絕XcodeGhost與命令控制服務(wù)器（C&C Server）之間的傳輸。

此外，為了避免被基于靜態(tài)檢測(cè)的安全工具所發(fā)現(xiàn)，XcodeGhost現(xiàn)已通過一種新穎的技術(shù)來掩蓋其C&C服務(wù)器。其代碼中不再使用硬編碼地址，而是轉(zhuǎn)而采用了按字符來組裝的URL。

　　受XcodeGhost影響的組織分布。

FireEye表示，App Store至少已經(jīng)有一款新應(yīng)用已經(jīng)被感染了XcodeGhost S。這款應(yīng)用的名稱叫做“自由邦”，作為一款購(gòu)物app，其主要面向美國(guó)和中國(guó)用戶，不過這家公司已經(jīng)配合蘋果將之撤下。

除了新版XcodeGhost S，F(xiàn)ireEye還發(fā)現(xiàn)舊版XcodeGhost已經(jīng)將目光瞄向了美國(guó)的企業(yè)，受影響的機(jī)構(gòu)集中在教育、高科、制造、通信、電商、以及金融等領(lǐng)域。

FireEye團(tuán)隊(duì)總結(jié)道：“盡管大多數(shù)供應(yīng)商已經(jīng)升級(jí)了App Store上的應(yīng)用，但也有數(shù)據(jù)表明仍有不少活躍用戶在使用舊版受感染的應(yīng)用版本，且它們分布與各個(gè)領(lǐng)域”