XcodeGhost事件后续:Xcode同病毒作者UnityGhost后门预警

admin 2022年4月10日21:44:35评论93 views字数 923阅读3分4秒阅读模式

9月21日晚上(23:21),百度安全实验室成员@evil_xi4oyu 透露,已经确认有非官方渠道的Unity 4.X被篡改加入恶意后门。

乌云知识库作者蒸米对Unity恶意后门样本“UnityGhost”进行分析后发现,该样本行为和“XcodeGhost”非常相似,它也会收集手机上的基础信息上传到init.icloud-diagnostics.com,并具备远程控制能力。在接收到服务器指令后,UnityGhost可以进行多种恶意行为:

  1. 下载安装企业证书的App;

  2. 弹AppStore的应用进行应用推广;

  3. 弹钓鱼页面进一步窃取用户信息;

  4. 如果用户手机中存在某URL Scheme漏洞,还可以进行URL Scheme攻击等。

XcodeGhost事件后续:Xcode同病毒作者UnityGhost后门预警
“UnityGhost”样本中弹出诈骗对话框的代码片段


Unity是目前国内最为主流的移动游戏引擎之一,由美国公司Unity Technologies开发,它支持在iOS、Android、Windows Phone 8等多个平台开发游戏应用。Unity 4.X是Unity当下的稳定版本。

目前尚不确定包含“UnityGhost”后门的Unity开发工具的传播范围,但对比“XcodeGhost”已经感染数千个苹果App Store应用(数据来自盘古越狱团队统计),此次影响应不容小觑。

乌云建议,使用非官方渠道下载Unity 4.X的游戏开发者请立刻展开自查,并对受影响版本进行处理。我们也会持续关注事件进展。

另外还有消息称,另一款知名移动游戏引擎Cocos2d-x的非官方安装包同样被植入类似后门,该消息目前尚未经过确认,请大家自查并关注最新消息。

附含后门Unity 4.X的检查方法(来自@evil_xi4oyu):

在目录“./Unity/Unity.app/Contents/PlaybackEngines/iossupport/Trampoline/Libraries/libiPhone-lib-il2cpp.a”存在感染样本“libiPhone-lib-il2cpp.a-*-master.o”

参考:WooYun Drops

原文始发于微信公众号(301在路上):XcodeGhost事件后续:Xcode同病毒作者“UnityGhost”后门预警

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月10日21:44:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   XcodeGhost事件后续:Xcode同病毒作者UnityGhost后门预警https://cn-sec.com/archives/884388.html

发表评论

匿名网友 填写信息