数十家美国企业仍在使用苹果移动应用程序接种恶意软件,以实施上个月发布的称为XcodeGhost的巧妙黑客攻击方式。
计算机安全公司FireEye周二表示,发现仍有210家企业仍在使用受感染的应用程序,显示XcodeGhost恶意软件“存在持续的安全风险”,根据博客文章称。
上个月,超过4,000个应用程序被发现使用伪造版本进行了修改Xcode是一款来自Apple的应用程序开发工具。
[进一步阅读:如何从Windows PC中删除恶意软件]恶意版本称为XcodeGhost,它将隐藏的代码添加到应用程序中,可以收集有关设备的标识信息,甚至可以打开网址
据推测,一些应用程序开发人员(大多数在中国)可能已经下载了流氓版本的Xcode,因为直接从Apple获取它的问题。根据Palo Alto Networks的统计,百度的云文件共享服务曾经托管过修改后的Xcode,但后来被删除了。
XcodeGhost令人担忧,因为感染它的应用程序很容易绕过了苹果的检查程序,旨在防止恶意应用程序在其移动应用程序商店。这对于苹果来说有点令人尴尬,苹果一直对商店保持严格控制,以保持高质量和安全风险。
苹果从App Store中删除受感染的应用程序,其中一些随后被非恶意版本取代。
Apple的Xcode工具用于为该公司的设备构建应用程序。
但FireEye的最新发现显示,许多用户可能没有使用已消毒的版本更新其设备上的受感染应用程序。美国企业中的其余恶意应用程序仍在尝试联系XcodeGhost的命令与控制服务器。这些应用程序包括来自腾讯的微信消息应用程序的旧版本和名为Music 163的音乐应用程序。
这是非常危险的,因为那些未加密的通信可能被其他黑客劫持并用于其他攻击,研究人员写道。
由于XcodeGhost被发现,一些公司已经阻止了通向XcodeGhost命令和控制服务器的网络流量和DNS查询。但是,“在这些员工更新他们的设备和应用程序之前,他们仍然容易遭受潜在的XcodeGhost劫持CnC流量 - 特别是在公司网络之外,“FireEye写道,
劫持数据流量可能会让攻击者显示意外的弹出式窗口,这些窗口会请求敏感数据,强制移动设备访问URL或分发应用程序不在苹果商店
有点令人惊讶的是,FireEye发现仍有70%的Apple移动设备尚未升级到推荐的iOS 9。另外,用户应该确保他们的所有应用程序都是最新的,这样就可以消除他们设备上的受感染应用程序。创建的人XcodeGhost也开发了一个新版本,可以定位iOS 9,名为XcodeGhost S,FireEye写道
该更新似乎打算绕过Apple 9内置的防御功能,以确保与其他服务器的大多数连接都已加密。 FireEye写道:它还使用一种方法来尝试打败它与之通信的命令与控制服务器的静态检测。苹果已经删除了一个感染了XcodeGhost S的应用程序,这个应用程序松散地转换为“自由状态”。这是一个购物应用程序FireEye说,对于苹果在美国和中国的App Store提供的旅行者,
