在 Apple 的嚴格把關之下,長久以來,iOS 的 App Store 應用程式商店一直被視為一個安全的應用程式來源。不過,這樣的美好世界已經不再,因為該商店被發現有眾多正常的應用程式 竟然暗藏著惡意程式碼,也就是外界所稱的「XcodeGhost」(Xcode幽靈)。
XcodeGhost 到底是怎麼來的?Xcode 是 Apple 各平台通用的程式開發工具套件,然而,中國的開發人員要從官方網站下載這套工具卻有困難,因為檔案很大 (好幾GB),而且從中國連上 Apple 官方網站的速度又很慢。(對中國用戶來說,連上中國境內網站的速度遠遠超過連到國外。)因此,許多中國的 iOS 應用程式開發人員都並非從官方網站下載 Xcode 工具,而是從國內檔案分享網站下載別人
上傳的版本:
圖 1:分享 Xcode 的網站。
但問題來了,這些網路上分享的版本,被人偷偷換掉了原本的 CoreService (核心服務) 模組,加入了惡意程式碼。因此,每個利用這些工具製作出來的應用程式都自動包含了惡意程式碼。以下畫面抓圖顯示程式碼中被偷偷植入的惡意網址,而使用這些工具製作出來的程式就會連上這些惡意網址。第一張抓圖顯示的是被改過的 Xcode 6.2 版;第二張則是被改過的 6.4 版。被改過的 6.4 版還會試圖隱藏惡意網址,企圖蒙騙資安研究人員和資安廠商。(目前 Apple 所提供的最新版本是 Xcode 7,還有一個 7.1 Beta 測試版。)
圖 2:被改過的 Xcode 6.2。
圖 3:被改過的 Xcode 6.4。
受感染的應用程式
以下列舉一些暗藏 XcodeGhost 程式碼的應用程式。不過,由於這些「暗黑版」的 Xcode 在許多非官方網站上廣泛流傳,因此可能還有更多其他應用程式也遭到感染。請注意,截至本文撰寫為止,表中粗體字標示的應用程式仍可以在官方 App Store 上找到。
BundleID
版本
AppLabel
com.51zhangdan.cardbox
5.0.1
51卡保险箱
com.cloud1911.mslict
1.0.44
LifeSmart
cn.com.10jqka.StocksOpenClass
3.10.01
炒股公开课
com.xiaojukeji.didi
3.9.7
嘀嘀打车
com.xiaojukeji.didi
4.0.0
滴滴出行
com.xiaojukeji.dididache
2.9.3
滴滴司机
com.dayup11.LaiDianGuiShuDiFree 3.6.5 电话归属地助手
sniper.ChildSong
1.6
儿歌动画大全
com.rovio.scn.baba 2.1.1 愤怒的小鸟2
com.appjourney.fuqi 2.0.1 夫妻床头话
com.autonavi.amap
7.3.8
高德地图
com.stockradar.radar1 5.6 股票雷达
cn.com.10jqka.TheStockMarketHotSpots 2.40.01 股市热点
com.jianshu.Hugo
2.9.1
Hugo
com.wdj.eyepetizer 1.8.0 Eyepetizer
com.iflytek.recinbox
1.0.1083
录音宝
com.maramara.app
1.1.0
马拉马拉
com.intsig.camcard.lite 6.5.1 CamCard
com.octInn.br 6.6.0 BirthdayReminder
com.chinaunicom.mobilebusiness 3.2 手机营业厅
cn.12306.rails12306
2.1
铁路12306
cn.com.10jqka.IHexin
9.53.01
同花顺
cn.com.10jqka.IphoneIJiJin
4.20.01
同花顺爱基金
cn.com.gypsii.GyPSii.ITC 7.7.2 图钉
com.netease.videoHD 10019 网易公开课
com.netease.cloudmusic
2.8.3
网易云音乐
com.tencent.xin
6.2.5
微信
com.tencent.mt2
1.10.5
我叫MT 2
com.gemd.iting 4.3.8 喜马拉雅FM
com.xiachufang.recipe
48
下厨房
cn.com.10jqka.ThreeBoard
1.01.01
新三板
com.simiao-internet.yaodongli
1.12.0
药给力
com.gaeagame.cn.fff 1.1.0 自由之战
表 1:部分暗藏 XcodeGhost 程式碼的應用程式。
推播應用程式
面對輿論的壓力,XcodeGhost 作者已經寫信公開道歉,並且公開其原始程式碼。從原始碼中我們發現,它除了可能造成資料外洩之外,還可能從遠端推播 (Push) 應用程式。受害用戶很可能被引導到 App Store 中的某個應用程式。此外,XcodeGhost 也可用來向用戶發送通知,進而從事詐騙或網路釣魚之類的活動。圖 4:XcodeGhost作者釋出的原始碼片段。
受害國家和地區
根據我們的監控資料顯示,中國是這起事件受害最嚴重的國家。不過,北美也遭受嚴重打擊。這一點並不太令人意外,因為許多受感染的應用程式 也在中國以外地區發行。
圖 5:受害的國家。
趨勢科技已能偵測含有這類惡意程式碼的應用程式,識別名稱為:IOS_XcodeGhost.A。
原文出處:The XcodeGhost Plague – How Did It Happen? |作者:Ju Zhu (行動裝置威脅分析師)
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
「已說讚」 欄位,勾選「搶先看」 選項, 最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
貧果
