几天前，我们深入调查了一种名为XcodeGhost的新型恶意软件，它位于App Store，可修改Xcode并感染iOS应用。研究还发现，超过39款iOS应用程序已被感染，其中包括像微信或滴滴打车这些非常流行的最新版本的应用程序，预计数亿iOS用户可能已受到影响。此外，我们还分析了XcodeGhost的远程控制功能，攻击者可以借此功能实施钓鱼或进一步的攻击。更多关于XcodeGhost及其行为的细节将在下文中进行披露。

· 应对措施

自9月18日公布该信息以后，Palo Alto Networks公司已与苹果、亚马逊和百度达成合作，以共享样本、威胁情报和研究。上述所有公司都已经采取措施，以阻止攻击，缓解安全威胁。

自9月18日开始，苹果公司已经开始删除其应用程序商店中被XcodeGhost感染的某些iOS应用。苹果公司还给受影响的开发商发送了一封邮件，通过官方的Xcode引导他们重新编译他们的产品，并再次重新提交。此外，苹果公司已经承认XcodeGhost为恶意软件，并已经影响到了App Store。

　　▲“铁路12306”已被暂时从App Store中删除

亚马逊也已经采取行动，由于XcodeGhost能够通过亚马逊网络服务中的C2服务器上传隐私信息，并发送控制命令，所以，亚马逊也关闭网络服务中的所有C2服务器。

百度已经删除了其云文件共享服务中所有的恶意Xcode安装文件，使得开发人员无意间下载被感染Xcode的几率大为降低。

截止到9月21日，我们发现应用程序商店中仍然存在一些已知被感染的iOS应用，其中也包括中国联通移动办公3.2版本。

　　▲周一上午一个已受感染的应用程序在App Store中仍然可用

· 更多受感染的应用程序已被披露

过去的几天中，其他安全公司也声称，更多的iOS应用程序已感染XcodeGhost。例如，奇虎360在其博客中列出了344款被感染的应用程序。盘古团队也声称，已经检测到3418款被感染的不同的iOS应用程序。盘古团队还发布了一款iOS应用程序，可以用于检测他们发现的木马iOS应用。

目前我们还没有证实他们的结果。但是，考虑到自2015年3月份以来恶意软件Xcode安装文件传播的情况，3月份也推出了C2服务器，与此同时，搜索引擎的结果也受到感染，因此，如果iOS应用程序受影响的人数远远大于我们的想象，倒也不足为奇。

· 给iOS用户的安全建议

iOS用户可以安装盘古团队的应用程序(在iPhone或iPad中直接访问x.pangu.io)，以检测其安装的应用程序是否受到感染。如果检测到被感染的应用程序，我们建议用户可以暂时删除，有新的可用版本时，再下载使用。

另外，有两种方法也有助于减轻恶意软件的潜在攻击。一是，为您的Apple ID设定两步验证，二是，避免使用不信任的WiFi网络。

即使完全遵守上述所有的步骤，对于iOS用户来说保护自己免受此类恶意软件的攻击仍是一种挑战。此次XcodeGhost事件备受关注，也激励了苹果和开发者在未来防止类似的攻击。

阅读全文，请登录:

http://researchcenter.paloaltonetworks.com/2015/09/more-details-on-the-xcodeghost-malware-and-affected-ios-apps/?utm_campaign=Palo%20Alto%20Networks%20Blog%20%C2%BB%20Unit%2042_09.21.15&utm_medium=email&utm_source=Eloqua&elq=f1e00d6135214fee9e5278e5ddcb4d36&elqCampaignId=2849&elqaid=5686&elqat=1&elqTrackId=1d9bbfbed80640d3be670e0f243a5b79