手机软件行业进入寒冬:unity3D同样查出被感染

潘阿瞒 | 2015-09-22 09:52

北京时间9月22日消息,最近多款iOS应用被植入了XcodeGhost病毒的事情闹得人心惶惶。而Android也没有能逃过此劫。unity3D同样被查出了感染XcodeGhost病毒。由于被注入的unity3D是游戏开发组件,建议所有android用户先卸载所有游戏。android应用权限比iOS大很多,影响可能会更大。

尽管XcodeGhost作者的服务器关闭了,但是受感染的app的行为还在,这些app依然不断的向服务器发送着请求。这时候黑客只要使用DNS劫持或者污染技术,声称自己的服务器就是“init.icloud-analysis.com”,就可以成功的控制这些受感染的app。

恶意行为一 定向在客户端弹(诈骗)消息

该样本先判断服务端下发的数据,如果同时在在“alertHeader”、“alertBody”、“appID”、“cancelTitle”、“confirmTitle”、“scheme”字段,则调用UIAlertView在客户端弹框显示消息窗口:

消息的标题、内容由服务端控制

客户端启动受感染的App后,弹出如下页面:

恶意行为二 下载企业证书签名的App

当服务端下发的数据同时包含“configUrl”、“scheme”字段时,客户端调用Show()方法,Show()方法中调用UIApplication.openURL()方法访问configUrl:

通过在服务端配置configUrl,达到下载安装企业证书App的目的:

enter image description here

客户端启动受感染的App后,目标App将被安装:

恶意行为三 推广AppStore中的应用

通过在服务端配置configUrl,达到推广AppStore中的某些应用的目的:

enter image description here

phishing1.html页面内容:

enter image description here

客户端启动受感染的App后,自动启动AppStore,并显示目标App的下载页面:

据百度安全实验室称已经确认”Unity-4.X的感染样本”。并且逻辑行为和XcodeGhost一致,只是上线域名变成了init.icloud-diagnostics.com。这意味,凡是用过被感染的Unity的app都有窃取隐私和推送广告等恶意行为。有证据证明XcodeGhost作者依然逍遥法外,虽然病毒作者声称并没有进行任何广告或者欺诈行为,但不代表别人不会代替病毒作者进行这些恶意行为。

安卓中国

喜欢数码科技资讯的你,就记得点击订阅啦。
关注「锋潮评测室」微信公众号【微信号:fengchaopingceshi】,还会送上更多你想要的哦~

相关标签: 软件 unity3D APP
42