近日，烏云漏洞平臺曝光了"XcodeGhost"之后，非官方的游戲開發(fā)引擎Unity存在同樣的“感染”能力，業(yè)內(nèi)稱其為“UnityGhost”。UnityGhost最初的消息來自百度安全實驗室成員@evil_xi4oyu，昨晚他在微博確認(rèn)有非官方渠道的Unity 4.X被篡改加入惡意后門。

此后烏云知識庫作者蒸米對Unity惡意后門樣本“UnityGhost”進行分析后發(fā)現(xiàn)，UnityGhost和XcodeGGhost的行為非常相似。

UnityGhost同樣也會收集手機上的基礎(chǔ)信息，同樣上傳到init.icloud-diagnostics.com，并具備遠(yuǎn)程控制能力。在接收到服務(wù)器指令后，UnityGhost可以進行多種惡意行為：

下載安裝企業(yè)證書的App;

彈AppStore的應(yīng)用進行應(yīng)用推廣;

彈釣魚頁面進一步竊取用戶信息;

如果用戶手機中存在某URL Scheme漏洞，還可以進行URL Scheme攻擊等。

“UnityGhost”樣本中彈出詐騙對話框的代碼片段

Unity是目前國內(nèi)最為主流的移動游戲引擎之一，由美國公司Unity Technologies開發(fā)，它支持在iOS、Android、Windows Phone 8等多個平臺開發(fā)游戲應(yīng)用。Unity 4.X是Unity當(dāng)下的穩(wěn)定版本。

目前尚不確定包含“UnityGhost”后門的Unity開發(fā)工具的傳播范圍，但對比“XcodeGhost”已經(jīng)感染數(shù)千個蘋果App Store應(yīng)用(數(shù)據(jù)來自盤古越獄團隊統(tǒng)計)，此次影響應(yīng)不容小覷。