Android 用户别笑隔壁家的 XcodeGhost 了，其实投毒者不挑平台

在国内 XcodeGhost 病毒爆发攻破 iOS 安全壁垒的时候，其实还是有不少 Android 用户是在看笑话的。但是事实告诉我们，Android 平台的安全性也非常让人堪忧，过往的例子已经说得够多了。但是在 XcodeGhost 这件事的后续发酵上，Android 手机也未能逃脱投毒者的魔爪。

在谈 Android 的事情前，我们还是来回顾一下 XcodeGhost 在 iOS 上发酵到何种程度：

• 进展一：疑似投毒者在社交网络现身，表示这次恶意篡改 Xcode 只是一场实验，没有进行恶意活动。但是根据后续发展，还有众多网络安全从业者分析，这个声明不可信。
• 进展二：根据昨天傍晚盘古团队的数据，他们的云端被感染列表库中已经有 4389 条记录，其中某些应用有多个版本被感染，覆盖 3418 个不同的应用。并且他们推断，App Store 中被感染的应用要远大于这个数字。
• 进展三：360 涅槃团队日前还原了恶意 iOS 应用与 C2 服务器的通信协议，从而可以实际测试受感染的 iOS 应用可以有哪些恶意行为，主要包括 “做应用推广，伪造内购页面，通过远程控制在用户手机上弹提示” 三种。

（安全团队用后门模拟可能的恶意行为）

并且绿盟科技还表示，这些后门的存在还可以发起更为恶劣的行为，比如发起 DDoS 攻击。

同时，在这份 9 月 20 号的报告中，绿盟科技还提到了 Android 的类似的安全隐患：

Android 平台对于 APP 的审核更为糟糕，Google 是完全被封闭的，国内的开发者完全只能从非官方渠道下载，且其 app 市场更为混乱，一旦发生安全事件，影响更为恶劣。

果不其然，今天，阿里移动安全发布报告：

虽然 XcodeGhost 作者的服务器关闭了，但是受感染的 app 的行为还在，这些 app 依然孜孜不倦的向服务器（比如 init.icloud-analysis.com，init.icloud-diagnostics.com 等）发送着请求。这时候黑客只要使用 DNS 劫持或者污染技术，声称自己的服务器就是”init.icloud-analysis.com”，就可以成功的控制这些受感染的 app。

在 360 涅槃团队总结的可能的攻击行为之外，阿里移动安全经过测试发现，XcodeGhost 的存在还可以下载企业证书签名的 app，定向在客户端弹（诈骗）消息，推送钓鱼页面等等，危害用户安全。

另外，百度安全实验室还披露另一个令人震惊的消息：

在大家以为一切都完结的时候，百度安全实验室称已经确认”Unity-4.X 的感染样本”。并且逻辑行为和 XcodeGhost 一致，只是上线域名变成了 init.icloud-diagnostics.com。这意味，凡是用过被感染的 Unity 的 app 都有窃取隐私和推送广告等恶意行为。

Unity 是由 Unity Technologies 开发的一个让玩家创建诸如三维视频游戏、实时三维动画等类型互动内容的多平台的综合型游戏开发工具，很多有名的手机游戏比如神庙逃亡，纪念碑谷，炉石传说都是用 Unity 进行开发的，包括 Android 版。Unity 4.6.4 – Unity 5.1.1 各个版本都有可能被篡改。而且在这个消息被曝出后，之前疑似 XcodeGhost 投毒者，网名为 coderFun 的人半夜开始删除之前散播的被感染的 Unity 帖子，这极有可能意味着，制作被感染的 Xcode 和 Unity 是同一个人或团队。

随着 Unity 感染被确定，是时候给出对于 Android 系统的安全预警了，在这件事情的持续发酵下，并且国内 Android 系统版本演化更复杂，应用商店割据更严重，预计 Android 系统手机面临的安全问题更为琐碎，更难以解决。

题图系《2012》剧照