电脑安全公司FireEye表示,曾感染了无数iOS应用的恶意软件XcodeGhost在近期的一次升级之后,已把目标瞄向了iOS9及美国企业用户,升级版恶意软件被称为XcodeGhost S。
新版XcodeGhost S已支持iOS 9中新增的特性,同时还增加了新的机制,已避免被检测到。作为iOS 9的硬性要求,XcodeGhost S已被修改躲避HTTPS通讯的限制,HTTPS原本可以阻绝XcodeGhost与命令控制服务器(C&C Server)之间的传输。
此外,为了避免被基于静态检测的安全工具所发现,XcodeGhost现已通过一种新颖的技术来掩盖其C&C服务器,其代码中不再使用硬编码地址,而是转而采用了按字符来组装的URL。
据FireEye研究人员披露,App Store中至少已经有一款新应用已经被感染了XcodeGhost S,目前已发现一款针对中国和美国用户的购物软件“自由邦”呗感染,不过这家公司已经配合苹果将软件下架。
此前,有超过4000款应用被发现使用了XcodeGhost恶意软件,也就是冒牌Xcode开发工具。这款恶意软件会在应用中增加隐藏代码,从而收集设备上的身份信息,甚至打开网址。
虽然苹果已经从App Store中移除了被感染的应用,但FireEye的最新报告显示,目前仍有210家美国企业使用被XcodeGhost恶意软件感染的iOS设备。这些受影响的机构集中在教育、高科、制造、通信、电商、以及金融等领域,由于这些数据通讯均未加密,可能被其他黑客劫持,并发起攻击,因此存在巨大的安全隐患。