手机软件行业进入寒冬：unity3D同样查出被感染

北京时间9月22日消息，最近多款iOS应用被植入了XcodeGhost病毒的事情闹得人心惶惶。而Android也没有能逃过此劫。unity3D同样被查出了感染XcodeGhost病毒。由于被注入的unity3D是游戏开发组件，建议所有android用户先卸载所有游戏。android应用权限比iOS大很多，影响可能会更大。

尽管XcodeGhost作者的服务器关闭了，但是受感染的app的行为还在，这些app依然不断的向服务器发送着请求。这时候黑客只要使用DNS劫持或者污染技术，声称自己的服务器就是“init.icloud-analysis.com”，就可以成功的控制这些受感染的app。

恶意行为一 定向在客户端弹（诈骗）消息

该样本先判断服务端下发的数据，如果同时在在“alertHeader”、“alertBody”、“appID”、“cancelTitle”、“confirmTitle”、“scheme”字段，则调用UIAlertView在客户端弹框显示消息窗口：

消息的标题、内容由服务端控制

客户端启动受感染的App后，弹出如下页面：

恶意行为二 下载企业证书签名的App

当服务端下发的数据同时包含“configUrl”、“scheme”字段时，客户端调用Show()方法，Show()方法中调用UIApplication.openURL()方法访问configUrl：

通过在服务端配置configUrl，达到下载安装企业证书App的目的：

客户端启动受感染的App后，目标App将被安装：

恶意行为三 推广AppStore中的应用

通过在服务端配置configUrl，达到推广AppStore中的某些应用的目的：

phishing1.html页面内容：

客户端启动受感染的App后，自动启动AppStore，并显示目标App的下载页面：

据百度安全实验室称已经确认”Unity-4.X的感染样本”。并且逻辑行为和XcodeGhost一致，只是上线域名变成了init.icloud-diagnostics.com。这意味，凡是用过被感染的Unity的app都有窃取隐私和推送广告等恶意行为。有证据证明XcodeGhost作者依然逍遥法外，虽然病毒作者声称并没有进行任何广告或者欺诈行为，但不代表别人不会代替病毒作者进行这些恶意行为。

安卓中国

喜欢数码科技资讯的你，就记得点击订阅啦。
关注「锋潮评测室」微信公众号【微信号：fengchaopingceshi】，还会送上更多你想要的哦~