趨勢科技的安全專家在調(diào)查一起網(wǎng)絡(luò)間諜活動(dòng)時(shí),發(fā)現(xiàn)了一款特別的iOS設(shè)備間諜程序。它可以竊取未越獄iOS用戶的照片、短信、聯(lián)系人列表和其他數(shù)據(jù)。但值得注意的是,這種惡意軟件仍然無法在未經(jīng)用戶允許的情況下安裝。
間諜活動(dòng)背景
Operation Pawn Storm是一起有關(guān)經(jīng)濟(jì)、政治的網(wǎng)絡(luò)間諜活動(dòng),主要目標(biāo)是各國的軍事、政府和媒體。這一活動(dòng)從2007年就開始,一直活躍至今。
安全研究人員發(fā)現(xiàn),該間諜活動(dòng)主要使用了兩款惡意程序:一個(gè)叫做XAgent,另一個(gè)叫做MadCap(與一款iOS游戲重名)。這些惡意間諜軟件主要用于竊取iOS用戶的私人數(shù)據(jù)、音頻、截圖等,然后將竊取到的數(shù)據(jù)傳輸?shù)竭h(yuǎn)程C&C(命令與控制)服務(wù)器上。
全面剖析XAgent
XAgent是一個(gè)功能強(qiáng)大的間諜程序。成功安裝在iOS 7上之后,就會(huì)隱藏了圖標(biāo),然后默默的在后臺(tái)運(yùn)行。當(dāng)我們?cè)噲D阻止其進(jìn)程時(shí),它會(huì)立即重新啟動(dòng)。但奇怪的是,XAgent在iOS 8 上卻不會(huì)隱藏圖標(biāo),也不會(huì)自動(dòng)的重新啟動(dòng)。難道是XAgent的開發(fā)時(shí)間早于iOS 8?
數(shù)據(jù)竊取能力
攻擊者開發(fā)該程序的目的是搜集iOS移動(dòng)設(shè)備上的所有信息,包括:
1. 文本信息
2. 聯(lián)系人列表
3. 圖片
4. 地理位置數(shù)據(jù)
5. 音頻數(shù)據(jù)
6. 安裝的應(yīng)用程序列表
7. 進(jìn)程列表
8. Wi-Fi狀態(tài)
圖1
C&C通信
除了搜集信息外,它還會(huì)通過HTTP向外發(fā)送信息。
格式化的日志信息
該惡意程序的日志以HTML形式書寫,并且還有顏色標(biāo)識(shí)。錯(cuò)誤的信息會(huì)顯示紅色,正確的信息會(huì)顯示綠色。
圖2
設(shè)計(jì)良好的代碼結(jié)構(gòu)
代碼結(jié)構(gòu)也是經(jīng)過精心設(shè)計(jì)的,黑客們小心翼翼的維護(hù)著,并不斷的更新。如下圖:
圖3
XAgent經(jīng)常使用watch, search, find, results, open, close命令。
圖4
隨機(jī)生成URI
XAgent會(huì)根據(jù)C&C服務(wù)器模板隨機(jī)生成URI(統(tǒng)一資源標(biāo)識(shí)符)。
基本的URI如圖4,程序會(huì)從圖5所示的列表中選擇參數(shù)拼接到基本URI中。
圖5
下面是實(shí)現(xiàn)結(jié)果:
圖6
圖7
令牌(token)格式與編碼
XAgent間諜程序會(huì)使用特定的令牌識(shí)別哪一個(gè)模塊正在進(jìn)行通信。該令牌使用Base64編碼數(shù)據(jù),但是要隨意添加一個(gè)5字節(jié)的前綴,這樣才看著像是一個(gè)有效的Base64數(shù)據(jù)。詳見下圖中第一行代碼的“ai=”部分。
圖8
通過逆向工程的話,我們還會(huì)發(fā)現(xiàn)XAgent的一些其他的通信功能。
圖10
FTP通信
該應(yīng)用程序還可通過FTP協(xié)議上傳文件。
圖11
剖析MadCap
MadCap和XAgent很相似,但是MadCap只能安裝在越獄后的蘋果設(shè)備上,對(duì)非越獄設(shè)備不起任何作用。
圖12
感染方式
目前為止,我們可以確定的iOS設(shè)備無須越獄也會(huì)感染惡意程序XAgent。
我們已經(jīng)發(fā)現(xiàn)了一個(gè)真實(shí)案例:用戶設(shè)備上會(huì)出現(xiàn)一個(gè)“點(diǎn)擊此處安裝應(yīng)用程序”的誘惑鏈接,地址為:https://www.{BLOCKED}/adhoc/XAgent.plist。受害者只需簡單的點(diǎn)擊圖片中的鏈接就中招了,
惡意程序程序通過蘋果的“特別通道”傳播——該通道原本是便于企業(yè)和開發(fā)者部署應(yīng)用而設(shè)置的,它允許軟件安裝繞過App Store。
圖13
安全建議
即使你使用的是未越獄的iPhone或iPad,現(xiàn)在,你也要多留個(gè)心眼了——不要點(diǎn)擊任何可疑鏈接。