XcodeGhost还没走，UnityGhost病毒风云再起

触乐 | 书上

触乐原创，转载请注明作者、出处。

本月初因为越狱渠道的漏洞，导致黑客从国内盗取了至少22万个苹果用户的登录名和密码。上周又因为XcodeGhost事件，微信、滴滴出行、网易云音乐等最常用的软件也出现安全隐患，以至于苹果官方都出面发布相关声明，称已从其官方App Store撤下被恶意篡改代码的应用。然而危机就此解除了吗？Android又会不会有危险？

尽管XcodeGhost的作者声称已经关闭了自己的服务器，但并非网易云音乐官微说的那样“不再有任何威胁”。乌云知识库的一篇文章指出，这些受到病毒感染的App依旧不断地向服务器（比如init.icloud-analysis.com、
init.icloud-diagnostics.com等）发送着请求。这时黑客只要使用DNS劫持或者污染技术，声称自己的服务器就是”init.icloud-analysis.com”，就可以成功地控制这些受感染的App。

受感染的App代码中，有一串用于接收和处理远程服务器指令的代码，它能支持4种远程的命令，分别能够控制sleep的时长、窗口消息、url scheme、App Store窗口。利用这4种命令排列组合，乌云团队用视频复现了如下4种可以造成危害的攻击方式：

■ 通过企业证书授权下载安装第三方的App

■ 自动跳转到目标App的App Store下载页面，进行应用推广

■ 通过跳转到恶意的钓鱼页面，进一步窃取用户信息

■ 推送诈骗弹窗信息

尽管网易云音乐等App已经于近日修复了漏洞，但危机尚未解除。据《京华时报》的报道，XcodeGhost的作者不止一个人，且依然逍遥法外。另外，一些证据指出XcodeGhost作者又去迫害Unity引擎了，从Unity 4.6.4一直到Unity 5.1.1的开发工具也都可能受到了污染，并且该病毒的行为与XcodeGhost一致。

百度安全实验室称已经确认拿到“Unity-4.X的感染样本”，分析结果表明，新病毒的逻辑行为和XcodeGhost基本一致，只是上线域名变成了
init.icloud-diagnostics.com。这意味着凡是用过被感染的Unity的App，都有可能存在窃取用户隐私和推送广告等恶意行为。由于Unity已经成为当前最重要的3D手游开发环境，游戏开发者更要额外注意软件的安全。

在一个名为“Unity圣典”的网站，那位声称是XcodeGhost代码作者的codeFun也出现了，他在论坛上分享了含有病毒污染的Unity引擎，涉及版本从Unity 4.6.4一直到Unity 5.1.1，还有许多论坛网友在底下向楼主致谢。这一行为被网友指出后，codeFun又主动删除了论坛中发布的内容。

XcodeGhost的作者曾在第三方论坛分享受UnityGhost病毒污染的Unity开发工具

即便XcodeGhost代码的作者只是一时无心的恶作剧，他也承诺不会利用病毒进行任何恶意行为，但难保其他第三方不会利用病毒作恶。

$shasum libiPhone-lib-il2cpp.a-armv7-master.o

625ad3824ea59db2f3a8cd124fb671e47740d3bd libiPhone-lib-il2cpp.a-armv7-master.o

$ file libiPhone-lib-il2cpp.a-armv7-master.o

libiPhone-lib-il2cpp.a-armv7-master.o: Mach-O object arm

UnityGhost的基本信息

乌云团队已经从百度安全实验室拿到UnityGhost的样本，分析结果表明它同样也会收集用户手机的各种信息（时间，bundle id，应用名称，系统版本，语言，国家等），并上传到一个新的服务器“
http://init.icloud-diagnostics.com”。

UnityGhost的行为样本

UnityGhost的恶意行为和XcodeGhost也如出一辙：下载安装企业证书的App；弹App Store的应用进行应用推广；弹钓鱼页面进一步窃取用户信息；如果用户手机中存在某url scheme漏洞，还可以进行url scheme攻击等。

我们也许看不到躲在暗处的病毒攻击，但可以谨慎防范。特别是遇到上述恶意攻击的读者，请先删除涉嫌感染病毒的应用，及时修改重要软件、游戏的账号密码。游戏开发者要注意自己的软件开发环境，从正规的渠道下载相应的开发工具。