XCodeGhost事件与应急处理

XcodeGhost事件及应急处理

XcodeGhost简述

XcodeGhost是一种手机病毒，传播途径是通过非官方下载的应用开发工具Xcode、Unity、cocos2dx。

此病毒于2015年9月被发现，最早爆出受影响的系统是苹果手机iOS，目前已有超过四千款iOS应用受到感染。后来XcodeGhost事件持续发酵，安卓系统也不能幸免于难，游戏开发工具Unity和cocos2dx的安卓版本也被感染。常见的手游如神庙逃亡、炉石传说、纪念碑谷等Android应用均是Unity开发的，不仅如此，某公司、网易云音乐等知名APP也对外承认受到了XcodeGhost事件的影响。

由于此事件影响范围之广，多家安全公司纷纷投入人力进行彻查与溯源，CCTV新闻频道也进行了专门的视频报道。分析指出，XcodeGhost病毒作者应该是蓄谋已久的，至少在半年前就开始收集苹果用户的信息，后来又持续在安卓平台做手脚。

有啥危害？

如果手机安装了受XcodeGhost病毒感染的APP，则该APP在接入网络时，会主动连接恶意域名 init.icloud-analysis.com ，并向该站点上传敏感信息（用户的Apple ID、帐号信息、支付信息、版本信息等）。更危险的是，黑客服务器是可以对受感染的设备下发控制指令的，包括在受空端执行打开网页、发短信、拨打电话、偷偷装上你不需要的APP等等操作。可以说，病毒作者可以对感染设备实现完全的控制。

当然，这不仅对某公司有潜在巨大危害，同时也给企业用户带来巨大的安全风险。手机、平板中的办公APP、业务APP存放的公司内部文件、营业数据、客户信息、产品机密参数等等，都可能被黑客非法窃取，损失是难以估量的。

感染途径

XcodeGhost病毒的初始传播途径主要是通过非官方下载的应用开发工具。例如对于苹果APP开发者来说，可能不是到官网Mac App Store里下载Xcode开发工具。为了个人方便（国内用户从国外站点下文件太慢了），到论坛提供的网盘下。而这类下载地址，就是病毒作者蓄意散布的，而此假Xcode已经被注入了XcodeGhost病毒。

所有使用这类假Xcode开发的APP，已经在开发过程中通过CoreService库文件进行感染，使编译出的APP被注入恶意代码。

开发人员将感染XcodeGhost的APP上传到AppStore，普通用户进行下载安装就中招了。

如何处理

已经部署了某公司防火墙产品的企业，只要开启僵尸网络模块的拒绝功能，即可防止信息泄露。

其他用户，建议将这个C2C服务器init.icloud-analysis.com 加入到黑名单中，阻断该恶意站点的流量，防止信息泄露。

另外，为彻底清除手机上的XcodeGhost病毒，建议卸载相关应用（不知道哪款应用中招的用户，建议将所有应用通通卸载重装）。苹果已经下架了受XcodeGhost影响的APP，后续更新的APP是可以放心下载的。

由于XcodeGhost病毒带有很明显的窃密行为，同时强烈建议中毒用户修改一切重要密码（邮箱密码、支付密码、银行密码……），避免不必要的损失。

出来混脸熟来了