Xcode病毒重大威胁app被置病毒可远程控制iPhone新日

XcodeGhost病毒/app被置病毒事件影响持续发酵，据安全研究团队360 Nirvan Team最新的分析指出，XcodeGhost病毒存在恶意下发木马行为，可远程控制iPhone。下面我们来看Xcode病毒利用受感染的iOS应用都能进行哪些恶意行为。

XcodeGhost病毒/app被置病毒检测工具下载和使用教程

一、恶意行为与C2服务器

1、通信密钥分析

恶意程序将其与服务器通信的数据做了加密，如下图所示：

密钥的计算方法：

通过分析，密钥为：stringWi，生成密钥的方式比较有迷惑性。

2、恶意行为分析

恶意行为一：做应用推广

方法是：首先检测用户手机上是否安装了目标应用，如果目标应用没有安装，则安装相应应用，其中目标应用由C2服务器控制。

我们逆向了恶意代码与C2服务器的通信协议，搭建了一个测试的C2服务器。然后通过C2服务器可以控制客户端安装第三方应用（演示应用为测试应用，不代表恶意软件推广该应用），见视频：

这是第一个针对 XcodeGhost 能力的视频演示

恶意行为二：伪造内购页面

相关代码如下：

恶意行为三：通过远程控制，在用户手机上提示

二、Xcode 的弱点及利用

1、Xcode 的利用过程描述

Xcode 中存在一个配置文件，该配置文件可以用来控制编译器的链接行为，在受感染的Xcode中，该文件被修改，从而在链接阶段使程序链接含有恶意代码的对象文件，实现向正常iOS应用中注入恶意代码的目的。

被修改的文件内容如下：

从上图可以看到，程序会链接恶意对象文件 CoreService。

从链接过程的Log中可以看到其实如何影响链接过程的：

注：实际上可以让CoreService从文件系统中消失，且在链接Log中没有任何额外信息。

通过在配置文件中添加的链接选项，在工程的编译设置中无法看到，这就增加隐蔽性：

2、对恶意代码 CoreService 的分析

首先 CoreService 的文件类型为：Object，即对象文件。

查看 CoreService 中的符号，可以看到：

导入的符号有：

3、验证概念

首先编写一个ObjC的类，测试如下图：

制作出对象文件ProteasInjector.o，然后用这个文件替换掉CoreService文件，编译程序，然后反汇编，结果如下：

可以看到代码被注入到应用中。

名医汇

挂号平台怎么预约

预约挂号平台网上预约