fireeye指出,新版xcodeghost已明确升级,以支持ios 9中新增的特性。与此同时,它还增加了新的机制,已避免自己被检测到。
特别的,xcodeghost s已被修改规避https通讯的限制。作为ios 9上的强制性要求,它原本可以阻绝xcodeghost与命令控制服务器(c&c server)之间的传输。
此外,为了避免被基于静态检测的安全工具所发现,xcodeghost现已通过一种新颖的技术来掩盖其c&c服务器。其代码中不再使用硬编码地址,而是转而采用了按字符来组装的url。
受xcodeghost影响的组织分布。
fireeye表示,app store至少已经有一款新应用已经被感染了xcodeghost s。这款应用的名称叫做“自由邦”,作为一款购物app,其主要面向美国和中国用户,不过这家公司已经配合苹果将之撤下。
除了新版xcodeghost s,fireeye还发现旧版xcodeghost已经将目光瞄向了美国的企业,受影响的机构集中在教育、高科、制造、通信、电商、以及金融等领域。
fireeye团队总结道:“尽管大多数供应商已经升级了app store上的应用,但也有数据表明仍有不少活跃用户在使用旧版受感染的应用版本,且它们分布与各个领域”。
作者:何妍
来源:51cto