FireEye指出，新版XcodeGhost已明確升級，以支持iOS 9中新增的特性。與此同時，它還增加了新的機(jī)制，已避免自己被檢測到。

[[154901]]

特別的，XcodeGhost S已被修改規(guī)避HTTPS通訊的限制。作為iOS 9上的強(qiáng)制性要求，它原本可以阻絕XcodeGhost與命令控制服務(wù)器(C&C Server)之間的傳輸。

此外，為了避免被基于靜態(tài)檢測的安全工具所發(fā)現(xiàn)，XcodeGhost現(xiàn)已通過一種新穎的技術(shù)來掩蓋其C&C服務(wù)器。其代碼中不再使用硬編碼地址，而是轉(zhuǎn)而采用了按字符來組裝的URL。

受XcodeGhost影響的組織分布。

FireEye表示，App Store至少已經(jīng)有一款新應(yīng)用已經(jīng)被感染了XcodeGhost S。這款應(yīng)用的名稱叫做“自由邦”，作為一款購物app，其主要面向美國和中國用戶，不過這家公司已經(jīng)配合蘋果將之撤下。

除了新版XcodeGhost S，F(xiàn)ireEye還發(fā)現(xiàn)舊版XcodeGhost已經(jīng)將目光瞄向了美國的企業(yè)，受影響的機(jī)構(gòu)集中在教育、高科、制造、通信、電商、以及金融等領(lǐng)域。

FireEye團(tuán)隊總結(jié)道：“盡管大多數(shù)供應(yīng)商已經(jīng)升級了App Store上的應(yīng)用，但也有數(shù)據(jù)表明仍有不少活躍用戶在使用舊版受感染的應(yīng)用版本，且它們分布與各個領(lǐng)域”。