關于造成iOS大危機的XcodeGhost病毒,這里有三點更新
【更新一】
中招應用在不斷擴大中,360 網絡攻防實驗室在跟進此事,不斷更新名單,除了昨天已經確認的之外,還有按照版本號定位的百度音樂(5.2.7.3 – 5.2.7 )、窮游(6.4.1 – 6.4 )、南方航空(2.6.5.0730 – 2.6.5)、天涯社區(2.1)、微信(6.2.5 )等等應用,查看名單更新請點擊此處(或前往 360 網絡攻防實驗室頁面),目前可以確認的應用及具體版本號如下:
- 開眼 1.8.0
- 聯通手機營業廳 3.2
- 媽媽圈 5.3.0
- 南方航空 2.6.5.0730 – 2.6.5
- 南京銀行 3.6 – 3.0.4
- 逆轉三國 5.80.5 – 5.80
- 窮游 6.4.1
- 窮游 6.4.1 – 6.4
- 三國名將 4.5.0.1 – 4.5.1
- 天使房貸 5.3.0.2 – 5.3.0
- 天涯社區 5.1.0
- 鐵路 12306 2.1
- 同花順 9.60.01
- 同花順 9.26.03
- 圖釘 7.7.2
- 網易公開課 4.2.8
- 網易云音樂 2.8.3
- 網易云音樂 2.8.1
- 微信 6.2.5
- 我叫 MT 4.6.2
- 我叫 MT2 1.8.5
- 下廚房 4.3.2
- 下廚房 4.3.1
- 造夢西游 OL 4.6.0
- 診療助手 7.2.3
- 自由之戰 1.0.9
- 卷皮 3.3.1
- 簡書 2.9.1
- 股票雷達 5.6.1 – 5.6
- 高德地圖 7.3.8.1040 – 7.3.8
- 高德地圖 7.3.8.2037
- 夫妻床頭話 2.0.1
- 動卡空間 3.4.4.1 – 3.4.4
- 電話歸屬地助手 3.6.3
- 滴滴打車 3.9.7.1 – 3.9.7
- 滴滴出行 4.0.0
- 炒股公開課 3.10.02 – 3.10.01
- 百度音樂 5.2.7.3 – 5.2.7
- YaYa 藥師 1.1.1
- YaYa 6.4.3 – 6.4
- WO + 創富 2.0.6 – 2.0.4
- WallpaperFlip 1.8
- VGO 視信 1.6.0
- UME 電影票 2.9.4
- UA 電影票 2.9.2
- Theme 2.4 – 2.4
- Theme 2.4.2 – 2.4
- Phone+ 3.3.6
- Perfect365 4.6.16
- OPlayer Lite 21051 – 2105
- MTP 管理微學 1.0.0 – 2.0.1
- Mail Attach 2.3.2 – 2.3
- Jewels Quest 2 3.39
- How Old Do I Look? How Old Am I? -Face Age Camera 3.6.7
- H3C 易查通 2.3 – 2.2
- Digit God 2.0.4 – 2.0
- Cute CUT 1.7
- CarrotFantasy 1.7.0.1 – 1.7.0
- CamCard 6.3.2.9095 – 6.3.2
- Albums 2.9.2
- AA 記賬 1.8.7 – 1.8
- 51 卡保險箱 5.0.1
- 2345 瀏覽器 4.0.1 </ul>
【更新二】
作為下載渠道方,迅雷也發出公告:
以下為迅雷官方回復全文。
各位媒體朋友和迅雷用戶:
對于今天爆出的 Xcode 被植入惡意代碼一事,我們注意到有猜測稱,迅雷服務器受到感染,導致使用迅雷會下載到含有惡意代碼的 Xcode。
迅雷第一時間安排工程師進行檢測。工程師測試了烏云網原文中提到的 Xcode6.4 和 7.0 兩個版本的下載,檢查了索引服務器中的文件校驗信息,并對比了離線服務器上的文件,結果都與蘋果官方下載地址的文件信息一致。也就是說,官方鏈接的 Xcode 經迅雷下載不會被植入惡意代碼。
感謝大家對迅雷的支持,請大家放心使用迅雷!
針對 XcodeGhost 惡意代碼事件,有分析人士指出,雖然 XCodeGhost 并沒有非常嚴重的惡意行為,但是這種病毒傳播方式在 iOS 上還是首次。也許這只是病毒作者試試水而已,可能隨后還會有更大的動作,請開發者務必要小心。
【更新三】
經過 Saic 的研究,推斷 XcodeGhost 的攻擊模式是:在用戶安裝了目標應用后,木馬會向服務器發送用戶數據。服務器根據需要返回模擬彈窗。彈窗可以是提示支付失敗,請到目標地址付款,也可以是某個軟件的企業安裝包。用戶被誘導安裝未經審核的安裝包后,程序可以調用系統的私有 API,實現進一步的攻擊目的。
以下為詳文:
《XcodeGhost 實際用途猜測分析》
本文只是根據已有代碼進行的猜測與分析,不代表木馬的真實用途。
前情提要:http://drops.wooyun.org/news/8864
根據之前大家的分析,這個木馬只是為了收集一些用戶基本信息,但事實真是如此?
我拿到了一份 ClassDump 的頭文件以及 IDA 反編譯的原文件,展開了探索。
ClassDump 來自 @糖炒小蝦_txx
木馬通過給 UIWindow 創建 Category 的方法(猜測是通過 makeKeyAndVisible),注冊了系統的 enterBackground / becomeActive / enterForeground 等系統通知,在這些節點會向遠程服務器發送 DES 加密的用戶數據。
通過對加密解密方法的逆向,我們找到了加密的 Key。這里用了一個障眼法,你能猜到 Key 是什么么?
經過解密,和之前分析的結果一致,只有一些用戶的基本信息。
費這么大勁裝木馬,攻擊者的目的真的在此?
現在遠程服務器已經關閉,但我們看到在木馬里還有很多諸如 Store,alertView 之類的方法。
木馬的關鍵都在 Response 里,在這里,攻擊者會利用服務器返回,來創建模擬彈窗。
Scheme 參數是一切的關鍵。
scheme 可以理解為 iOS 系統中的網址,通過指定 scheme,可以實現程序的跳轉或調用系統服務,之前流行一時的系統 WIFI 開關就是使用了類似原理。
而且通過 scheme,還能實現跳過 App Store 安裝未經審核的企業應用。
Show:Scheme: 的中的方法證實了我的猜測:
所以整個木馬的邏輯應該是這樣:
在用戶安裝了目標應用后,木馬會向服務器發送用戶數據。
服務器根據需要返回模擬彈窗。
彈窗可以是提示支付失敗,請到目標地址付款,也可以是某個軟件的企業安裝包。
用戶被誘導安裝未經審核的安裝包后,程序可以調用系統的私有 API,實現進一步的攻擊目的。
木馬中還有一些調用應用內購的攻擊邏輯,就不展開說明了。
如果之前有遇到任何程序彈出非系統需要輸入 Apple ID 或密碼的網站,并輸入過密碼的,還請盡早修改。