數天前,我們深入調查了一種名為 XcodeGhost 的新型惡意軟件,它存儲於 App Store,可修改 Xcode 並感染 iOS 應用。研究還發現,超過 39 款 iOS 應用程式已被感染,其中包括像最新版本的微信或滴滴打車這些非常流行的應用程式,預計數億 iOS 用戶可能已受到影響。
此外,我們還分析了 XcodeGhost 的遠端控制功能,攻擊者可以借此功能實施釣魚或進一步的攻擊。更多關於 XcodeGhos t及其行為的細節將在下文中進行披露。
應對措施
1. 自 9 月 18 日公佈該資訊以後,Palo Alto Networks 公司已與蘋果、亞馬遜和百度達成合作,以共用樣本、威脅情報和研究資源。上述所有公司都已經採取措施,以阻止攻擊,緩解安全威脅。
2. 自 9 月 18 日開始,蘋果公司已經開始刪除其應用程式商店中被 XcodeGhost 感染的某些 iOS 應用。蘋果公司還給受影響的開發商發送了一封郵件,通過官方的 Xcode 引導他們重新編譯他們的產品,並再次重新提交。此外,蘋果公司已經承認 XcodeGhost 為惡意軟件,並已經影響到了App Store。
圖 1 「鐵路 12306」應用程式已暫時從 App Store 中被刪除。
3. 亞馬遜也已經採取行動,由於 XcodeGhost 能夠通過亞馬遜網絡服務中的 C2 伺服器上傳私隱資訊,並發送控制命令,所以,亞馬遜也關閉網絡服務中的所有 C2 伺服器。
4. 百度已經刪除了其雲端共用服務中所有的惡意 Xcode 安裝檔,使程式開發人員無意間下載被感染 Xcode 的機率大為降低。
5. 截至 9 月 21 日,我們發現應用程式商店中仍然存在一些已被感染的 iOS 應用,其中也包括中國聯通移動辦公 3.2 版本。(圖 2)
圖 2 週一上午一個已受感染的應用程式在 App Store 中仍然可用。
更多受感染的應用程式已被披露
過去數天,其他安全公司也聲稱,更多的 iOS 應用程式已感染 XcodeGhost。例如,奇虎 360 在其博客中列出了 344 款被感染的應用程式。盤古團隊也聲稱,已經檢測到 3418 款被感染的不同的 iOS 應用程式。盤古團隊還發佈了一款 iOS 應用程式,可以用於檢測他們發現的木馬 iOS 應用。
目前我們還沒有證實他們的調查結果。但是,考慮到自 2015 年 3 月份以來惡意軟件 Xcode 安裝檔傳播的情況,3 月份己開始運作的 C2 伺服器,與此同時,搗亂搜尋引擎的回覆,因此,如果 iOS 應用程式受影響的人數遠遠大於我們的想像,倒也不足為奇。
給 iOS 用戶的安全建議
iOS 使用者可以安裝盤古團隊的應用程式(在 iPhone 或 iPad 中直接訪問 x.pangu.io),以檢測其安裝的應用程式是否受到感染。如果檢測到被感染的應用程式,我們建議使用者可以暫時把此程式刪除,等待更新的可用版本,再下載使用。
另外,有兩種方法也有助於減輕惡意軟件的潛在攻擊。一是,為您的 Apple ID 設定雙重驗證,二是,避免使用不信任的 WiFi 網絡。
即使完全遵守上述所有的步驟,對於 iOS 使用者來說保護自己免受此類惡意軟件的攻擊仍是一種挑戰。此次 XcodeGhost 事件備受關注,也促使了蘋果和開發者更關注程式安全以在未來防止類似的攻擊。
作者為 Palo Alto Networks Unit 42 威脅研究分析員 Claud Xiao
潛藏 App Store 的惡意軟件:專家披露 XcodeGhost 更多細節
https://www.facebook.com/hkitblog