通過(guò)重新打包Xcode并引誘開(kāi)發(fā)者下載的方式,XcodeGhost惡意軟件已經(jīng)感染了無(wú)數(shù)iOS應(yīng)用。然而在近期的一次升級(jí)之后,它已經(jīng)將目標(biāo)瞄向了iOS 9和更多美機(jī)構(gòu)用戶。這項(xiàng)發(fā)現(xiàn)由FireEye研究人員所披露,其將新版惡意如今稱(chēng)作XcodeGhost S,因?yàn)樗呀?jīng)可以感染最新的iPhone 6s系列機(jī)型。
FireEye指出,新版XcodeGhost已明確升級(jí),以支持iOS 9中新增的特性。與此同時(shí),它還增加了新的機(jī)制,已避免自己被檢測(cè)到。
特別的,XcodeGhost S已被修改規(guī)避HTTPS通訊的限制。作為iOS 9上的強(qiáng)制性要求,它原本可以阻絕XcodeGhost與命令控制服務(wù)器(C&C Server)之間的傳輸。
此外,為了避免被基于靜態(tài)檢測(cè)的安全工具所發(fā)現(xiàn),XcodeGhost現(xiàn)已通過(guò)一種新穎的技術(shù)來(lái)掩蓋其C&C服務(wù)器。其代碼中不再使用硬編碼地址,而是轉(zhuǎn)而采用了按字符來(lái)組裝的URL。
受XcodeGhost影響的組織分布。
FireEye表示,App Store至少已經(jīng)有一款新應(yīng)用已經(jīng)被感染了XcodeGhost S。這款應(yīng)用的名稱(chēng)叫做“自由邦”,作為一款購(gòu)物app,其主要面向美國(guó)和中國(guó)用戶,不過(guò)這家公司已經(jīng)配合蘋(píng)果將之撤下。
除了新版XcodeGhost S,F(xiàn)ireEye還發(fā)現(xiàn)舊版XcodeGhost已經(jīng)將目光瞄向了美國(guó)的企業(yè),受影響的機(jī)構(gòu)集中在教育、高科、制造、通信、電商、以及金融等領(lǐng)域。
FireEye團(tuán)隊(duì)總結(jié)道:“盡管大多數(shù)供應(yīng)商已經(jīng)升級(jí)了App Store上的應(yīng)用,但也有數(shù)據(jù)表明仍有不少活躍用戶在使用舊版受感染的應(yīng)用版本,且它們分布與各個(gè)領(lǐng)域”。