果粉当心:你手机的网易云音乐、12306、高德地图都中病毒了你造吗!
据网友@唐巧_boy微博爆料,其朋友在第三方渠道下载的iOS开发工具xcode被插入恶意代码,会向一个网站上传数据,目前已知两个知名的App被注入。其中,“网易云音乐”不幸中招,该应用在AppStore上的最新版本2.8.3已经确认被感染。会将手机隐私信息发送到病毒作者的服务器 “init.icloud-analysis.com”上面,需要引起相关开发者和用户的注意。随后,众多网友均表示遭遇过此种情况。
网易云音乐逆向后的函数列表,可以找到XcodeGhost所插入的函数:
受感染的网易云音乐会把手机隐私信息发送到病毒作者的服务器“init.icloud-analysis.com”上面:
(图片来自乌云漏洞平台)
随后,独立开发者@图拉鼎进行测试,发现仅自己手机中招的App就有——网易云音乐、滴滴出行、12306、中国联通的手机营业厅、高德地图、简书、豌豆荚的开眼、网易公开课。
根据热心网友举报,投毒者网名为“coderfun”。他在各种iOS开发者论坛或者weibo后留言引诱iOS开发者下载有毒版本的Xcode。并且中毒的版本不止Xcode 6.4,还有6.1,6.2和6.3等等。
网易云音乐已经在官微进行正式回应:
目前,恶意服务器已关闭。
滴滴打车 、12306、中信银行动卡空间、中国联通手机营业厅、高德地图、简书 、开眼 、网易公开课、下厨房 、卡保险箱 、同花顺手机炒股
微博用户@Saic解释道,当你在中招的 App 里完成了一次 IAP 内购,比如云音乐的付费音乐包,无论是输入密码还是 Touch ID,那么一段加密的数据即发往了目标服务器。但目前尚不知加密的内容是什么。
立即删除从不明来源下载的 Xcode。
@图拉鼎表示尽管恶意服务器已停止收集,但仍有风险。中招 App 实在太多,名单还在不断增加,所以可以先做以下防护措施:
1、更改会通过 App 支付的帐户密码(如 iCloud),开启两步验证;2、暂停使用中招的 App,无法停止的至少不要进行内购等操作;3、该恶意代码除了会收集 App 使用信息外还可能会在 App 里以弹窗的形式骗取用户的 iCloud 或其他密码。如果有遇到App 里突然出现标准弹窗时,要选择“否”。
专业病毒分析传送门:
XCode编译器里有鬼 – XCodeGhost样本分析
(http://drops.wooyun.org/news/8864)
IT时报记者 戚夜云综合报道