【IT168 资讯】几天前,我们深入调查了一种名为XcodeGhost的新型恶意软件,它位于App Store,可修改Xcode并感染iOS应用。研究还发现,超过39款iOS应用程序已被感染,其中包括像微信或滴滴打车这些非常流行的最新版本的应用程序,预计数亿iOS用户可能已受到影响。此外,我们还分析了XcodeGhost的远程控制功能,攻击者可以借此功能实施钓鱼或进一步的攻击。更多关于XcodeGhost及其行为的细节将在下文中进行披露。
· 应对措施
自9月18日公布该信息以后,Palo Alto Networks公司已与苹果、亚马逊和百度达成合作,以共享样本、威胁情报和研究。上述所有公司都已经采取措施,以阻止攻击,缓解安全威胁。
自9月18日开始,苹果公司已经开始删除其应用程序商店中被XcodeGhost感染的某些iOS应用。苹果公司还给受影响的开发商发送了一封邮件,通过官方的Xcode引导他们重新编译他们的产品,并再次重新提交。此外,苹果公司已经承认XcodeGhost为恶意软件,并已经影响到了App Store。
▲“铁路12306”已被暂时从App Store中删除
亚马逊也已经采取行动,由于XcodeGhost能够通过亚马逊网络服务中的C2服务器上传隐私信息,并发送控制命令,所以,亚马逊也关闭网络服务中的所有C2服务器。
百度已经删除了其云文件共享服务中所有的恶意Xcode安装文件,使得开发人员无意间下载被感染Xcode的几率大为降低。
截止到9月21日,我们发现应用程序商店中仍然存在一些已知被感染的iOS应用,其中也包括中国联通移动办公3.2版本。
▲周一上午一个已受感染的应用程序在App Store中仍然可用
· 更多受感染的应用程序已被披露
过去的几天中,其他安全公司也声称,更多的iOS应用程序已感染XcodeGhost。例如,奇虎360在其博客中列出了344款被感染的应用程序。盘古团队也声称,已经检测到3418款被感染的不同的iOS应用程序。盘古团队还发布了一款iOS应用程序,可以用于检测他们发现的木马iOS应用。
目前我们还没有证实他们的结果。但是,考虑到自2015年3月份以来恶意软件Xcode安装文件传播的情况,3月份也推出了C2服务器,与此同时,搜索引擎的结果也受到感染,因此,如果iOS应用程序受影响的人数远远大于我们的想象,倒也不足为奇。
· 给iOS用户的安全建议
iOS用户可以安装盘古团队的应用程序(在iPhone或iPad中直接访问x.pangu.io),以检测其安装的应用程序是否受到感染。如果检测到被感染的应用程序,我们建议用户可以暂时删除,有新的可用版本时,再下载使用。
另外,有两种方法也有助于减轻恶意软件的潜在攻击。一是,为您的Apple ID设定两步验证,二是,避免使用不信任的WiFi网络。
即使完全遵守上述所有的步骤,对于iOS用户来说保护自己免受此类恶意软件的攻击仍是一种挑战。此次XcodeGhost事件备受关注,也激励了苹果和开发者在未来防止类似的攻击。
阅读全文,请登录:
