一、感染XcodeGhost木马APP

360NirvanTeam连夜扫描了14万5千多个app，共发现344款app感染XcodeGhost木马，其中不乏有百度音乐，微信，高德， 滴滴，花椒，58同城，网易云音乐，12306，同花顺，南方航空，工行融e联，重庆银行用户量很广的app，涉及互联网、金融、铁路航空、游戏等领域，具体请看受感染APP详细list。

二、攻击方式及来源

通过向IDE中植入恶意代码，进而通过IDE向其编译、生成的应用中插入恶意代码，恶意程序的主要来源：百度网盘、迅雷等第三方平台。

三、问题描述

从第三方源下载的 Xcode(苹果平台IDE) 被植入恶意代码，使用受感染的Xcode编译、生成的应用中会被植入后门。

间接影响 Xcode 支持的所有平台，包括：iOS，iPhone 模拟器，Mac OS X，目前受影响最大的是 iOS 平台。

被植入恶意代码的iOS应用会向服务器上传信息，具体信息包括：时间、应用名字、应用标识ID、设备名字与类型、系统区域及语言、设备唯一标识UUID、网络类型。

四、xcode样本分析

xcode样本下载http://yunpan.cn/cHfMAZY8DA356 (提取码：39e0)

正常的xcode目录结构中SDKs目录下没有Library目录，被种植恶意木马的Xcode中包含了恶意的CoreService库文件，目录结构如下：

Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService

　　恶意Xcode影响范围：

从样本上分析，影响 Xcode v6.1 - v6.4，但是理论上可以影响 Xcode 的所有版本。

　　影响平台ios，ios模拟器，macox X86 或者x86_64位多版本。

五、苹果官方appstore微信6.2.5样本分析

微信6.25样本 http://yunpan.cn/cHfMy5WXVbcQM (提取码：b7b3)

抓包查看如下：

　　逆向分析connection函数发送的网站地址：

　　六、越狱平台微信抢红包插件分析

插件样本 http://yunpan.cn/cHfMTQ9tRmbjY (提取码：e6d7)

在上次分析过红包插件盗取22万icloud信息的插件后发现在此插件上还隐藏着另一个后门，盗号插件也中了xcode木马，红包插件名称为iwexin.dylib。

使用别篡改的XCode会加载coresevice库文件，在编译出的APP或dylib包含了如下头文件的头文件，所有的恶意函数隐藏其中:

通过分析使用恶意XCode编译的iwexin.dylib启动时执行如下类中的函数进行收集信息并发送，如下为发送消息至服务器的.h文件和类

　　通过反编译查看恶意代码收集信息分别为：

国家，语言，设备信息，系统版本，时间戳，app的bundleID

以下为收集设备信息的.h文件和类：

　　以下是ida中查看的获取设备等信息的关键代码

在ida中查看到主要恶意代码关键部分如下，随着程序启动开始执行，获取设备信息发送信息至init.icloud-analysis.com

　　七、检测方法

如果 Xcode 中存在如下文件与目录，即可认为受感染：

1 Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService，针对 iOS

2 Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework，针对 iOS

3 Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService，针对 iPhone 模拟器

4 Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework，针对 iPhone 模拟器

5 Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService，针对 Mac OS X

6 Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework，针对 Mac OS X 7

八、解决方案

1、高优先级检测所有编译服务器、自动发布服务器中的 Xcode 是否被感染。

2、开发者需要检查系统中所有版本的 Xcode 是否被感染。

3、如果受感染，首先删除受感染的 Xcode，然后从 Mac AppStore 或者从开发者中心下载 Xcode。

4、如果线上的应用是用受感染的 Xcode 发布的过，请使用官方的 Xcode 清理、重新编译应用，然后上传 AppStore，尽量向苹果说明情况，从而走 AppStore 的紧急上线流程。