近日，烏云漏洞平臺(tái)曝光了"XcodeGhost"之后，非官方的游戲開發(fā)引擎Unity存在同樣的“感染”能力，業(yè)內(nèi)稱其為“UnityGhost”。UnityGhost最初的消息來自百度安全實(shí)驗(yàn)室成員@evil_xi4oyu，昨晚他在微博確認(rèn)有非官方渠道的Unity 4.X被篡改加入惡意后門。

此后烏云知識(shí)庫(kù)作者蒸米對(duì)Unity惡意后門樣本“UnityGhost”進(jìn)行分析后發(fā)現(xiàn)，UnityGhost和XcodeGGhost的行為非常相似。

UnityGhost同樣也會(huì)收集手機(jī)上的基礎(chǔ)信息，同樣上傳到init.icloud-diagnostics.com，并具備遠(yuǎn)程控制能力。在接收到服務(wù)器指令后，UnityGhost可以進(jìn)行多種惡意行為：

下載安裝企業(yè)證書的App;

彈AppStore的應(yīng)用進(jìn)行應(yīng)用推廣;

彈釣魚頁(yè)面進(jìn)一步竊取用戶信息;

如果用戶手機(jī)中存在某URL Scheme漏洞，還可以進(jìn)行URL Scheme攻擊等。

“UnityGhost”樣本中彈出詐騙對(duì)話框的代碼片段

Unity是目前國(guó)內(nèi)最為主流的移動(dòng)游戲引擎之一，由美國(guó)公司Unity Technologies開發(fā)，它支持在iOS、Android、Windows Phone 8等多個(gè)平臺(tái)開發(fā)游戲應(yīng)用。Unity 4.X是Unity當(dāng)下的穩(wěn)定版本。

目前尚不確定包含“UnityGhost”后門的Unity開發(fā)工具的傳播范圍，但對(duì)比“XcodeGhost”已經(jīng)感染數(shù)千個(gè)蘋果App Store應(yīng)用(數(shù)據(jù)來自盤古越獄團(tuán)隊(duì)統(tǒng)計(jì))，此次影響應(yīng)不容小覷。