潛藏 App Store 的惡意軟件：專家披露 XcodeGhost 更多細節

數天前，我們深入調查了一種名為 XcodeGhost 的新型惡意軟件，它存儲於 App Store，可修改 Xcode 並感染 iOS 應用。研究還發現，超過 39 款 iOS 應用程式已被感染，其中包括像最新版本的微信或滴滴打車這些非常流行的應用程式，預計數億 iOS 用戶可能已受到影響。

此外，我們還分析了 XcodeGhost 的遠端控制功能，攻擊者可以借此功能實施釣魚或進一步的攻擊。更多關於 XcodeGhos t及其行為的細節將在下文中進行披露。

應對措施

1. 自 9 月 18 日公佈該資訊以後，Palo Alto Networks 公司已與蘋果、亞馬遜和百度達成合作，以共用樣本、威脅情報和研究資源。上述所有公司都已經採取措施，以阻止攻擊，緩解安全威脅。

2. 自 9 月 18 日開始，蘋果公司已經開始刪除其應用程式商店中被 XcodeGhost 感染的某些 iOS 應用。蘋果公司還給受影響的開發商發送了一封郵件，通過官方的 Xcode 引導他們重新編譯他們的產品，並再次重新提交。此外，蘋果公司已經承認 XcodeGhost 為惡意軟件，並已經影響到了App Store。

圖 1 「鐵路 12306」應用程式已暫時從 App Store 中被刪除。

3. 亞馬遜也已經採取行動，由於 XcodeGhost 能夠通過亞馬遜網絡服務中的 C2 伺服器上傳私隱資訊，並發送控制命令，所以，亞馬遜也關閉網絡服務中的所有 C2 伺服器。

4. 百度已經刪除了其雲端共用服務中所有的惡意 Xcode 安裝檔，使程式開發人員無意間下載被感染 Xcode 的機率大為降低。

5. 截至 9 月 21 日，我們發現應用程式商店中仍然存在一些已被感染的 iOS 應用，其中也包括中國聯通移動辦公 3.2 版本。（圖 2）

圖 2 週一上午一個已受感染的應用程式在 App Store 中仍然可用。

更多受感染的應用程式已被披露

過去數天，其他安全公司也聲稱，更多的 iOS 應用程式已感染 XcodeGhost。例如，奇虎 360 在其博客中列出了 344 款被感染的應用程式。盤古團隊也聲稱，已經檢測到 3418 款被感染的不同的 iOS 應用程式。盤古團隊還發佈了一款 iOS 應用程式，可以用於檢測他們發現的木馬 iOS 應用。

目前我們還沒有證實他們的調查結果。但是，考慮到自 2015 年 3 月份以來惡意軟件 Xcode 安裝檔傳播的情況，3 月份己開始運作的 C2 伺服器，與此同時，搗亂搜尋引擎的回覆，因此，如果 iOS 應用程式受影響的人數遠遠大於我們的想像，倒也不足為奇。

給 iOS 用戶的安全建議

iOS 使用者可以安裝盤古團隊的應用程式（在 iPhone 或 iPad 中直接訪問 x.pangu.io），以檢測其安裝的應用程式是否受到感染。如果檢測到被感染的應用程式，我們建議使用者可以暫時把此程式刪除，等待更新的可用版本，再下載使用。

另外，有兩種方法也有助於減輕惡意軟件的潛在攻擊。一是，為您的 Apple ID 設定雙重驗證，二是，避免使用不信任的 WiFi 網絡。

即使完全遵守上述所有的步驟，對於 iOS 使用者來說保護自己免受此類惡意軟件的攻擊仍是一種挑戰。此次 XcodeGhost 事件備受關注，也促使了蘋果和開發者更關注程式安全以在未來防止類似的攻擊。

作者為 Palo Alto Networks Unit 42 威脅研究分析員 Claud Xiao