通過重新打包Xcode并引誘開發(fā)者下載的方式，XcodeGhost惡意軟件已經(jīng)感染了無數(shù)iOS應用。然而在近期的一次升級之后，它已經(jīng)將目標瞄向了iOS 9和更多美機構(gòu)用戶。這項發(fā)現(xiàn)由FireEye研究人員所披露，其將新版惡意如今稱作XcodeGhost S，因為它已經(jīng)可以感染***的iPhone 6s系列機型。

[[155272]]

FireEye指出，新版XcodeGhost已明確升級，以支持iOS 9中新增的特性。與此同時，它還增加了新的機制，已避免自己被檢測到。

特別的，XcodeGhost S已被修改規(guī)避HTTPS通訊的限制。作為iOS 9上的強制性要求，它原本可以阻絕XcodeGhost與命令控制服務器（C&C Server）之間的傳輸。

此外，為了避免被基于靜態(tài)檢測的安全工具所發(fā)現(xiàn)，XcodeGhost現(xiàn)已通過一種新穎的技術(shù)來掩蓋其C&C服務器。其代碼中不再使用硬編碼地址，而是轉(zhuǎn)而采用了按字符來組裝的URL。

受XcodeGhost影響的組織分布。

FireEye表示，App Store至少已經(jīng)有一款新應用已經(jīng)被感染了XcodeGhost S。這款應用的名稱叫做“自由邦”，作為一款購物app，其主要面向美國和中國用戶，不過這家公司已經(jīng)配合蘋果將之撤下。

除了新版XcodeGhost S，F(xiàn)ireEye還發(fā)現(xiàn)舊版XcodeGhost已經(jīng)將目光瞄向了美國的企業(yè)，受影響的機構(gòu)集中在教育、高科、制造、通信、電商、以及金融等領(lǐng)域。

FireEye團隊總結(jié)道：“盡管大多數(shù)供應商已經(jīng)升級了App Store上的應用，但也有數(shù)據(jù)表明仍有不少活躍用戶在使用舊版受感染的應用版本，且它們分布與各個領(lǐng)域”