9月に話題となった改変版Xcode「XcodeGhost」だが、FireEyeの調べによると現在も210の企業内ネットワークからXcodeGhostで作成されたiOSアプリとC&Cサーバーとの通信が確認されているそうだ。また、XcodeGhost自体もiOS 9に対応したXcode 7ベースに進化しているとのこと(FireEyeのブログ記事、 PCWorldの記事、 9to5Macの記事、 Softpediaの記事)。

XcodeGhostで生成したiOSアプリにはAppleのコードレビューで発見されない悪意のあるコードが仕込まれ、9月には1,000本近い感染アプリがApp Storeで公開されていた。Appleでは感染の判明したアプリを削除し、多くの開発者が正規のXcodeで作成したバージョンに更新を行っているが、アプリを更新せずに感染したまま使い続けている人もいるようだ。検出件数の大半を占めるのが既に修正版の提供されている「WeChat」と「网易云音乐」の未修正バージョンとなっている。

4週間で企業内ネットワークからC&Cサーバーへの接続試行が28,000回以上検出されており、検出数が多いのはドイツ(62%)、米国(33%)、フランス(3%)、オランダ(2%)、日本(0.09%)の5か国。C&Cサーバーは攻撃者の管理下にはないが、脆弱性があるため簡単に攻撃者が乗っ取り可能な状態とのこと。C&Cサーバーとの接続で可能になる動作としては、App Store以外からアプリを配布することやURLを開かせること、App Storeのダウンロードページを直接開いて任意のアプリを宣伝すること、フィッシング詐欺のウィンドウを開くことが確認されている。

FireEyeが「XcodeGhost S」と呼ぶXcode 7ベースのXcodeGhostは、iOS 9のセキュリティ機能を迂回してC&Cサーバーに接続可能なアプリを生成する。iOS 9のデフォルトではアプリとサーバーの接続にはHTTPSが必須となっているが、C&Cサーバーのドメインを例外に設定することでHTTPでの接続を可能にする。さらに、C&Cサーバーのドメイン名をハードコードせず、コード内で構築する仕組みにすることで静的な検出を防ぐという。XcodeGhost Sで作成したアプリはApp Storeで既に1本発見されており、FireEyeの通知によりAppleが削除しているとのこと。なお、このアプリ「自游邦」は修正バージョンが公開されているようだ。