趨勢科技的安全專家在調查一起網絡間諜活動時,發現了一款特別的iOS設備間諜程序。它可以竊取未越獄iOS用戶的照片、短信、聯系人列表和其他數據。但值得注意的是,這種惡意軟件仍然無法在未經用戶允許的情況下安裝。
間諜活動背景
Operation Pawn Storm是一起有關經濟、政治的網絡間諜活動,主要目標是各國的軍事、政府和媒體。這一活動從2007年就開始,一直活躍至今。
安全研究人員發現,該間諜活動主要使用了兩款惡意程序:一個叫做XAgent,另一個叫做MadCap(與一款iOS游戲重名)。這些惡意間諜軟件主要用于竊取iOS用戶的私人數據、音頻、截圖等,然后將竊取到的數據傳輸到遠程C&C(命令與控制)服務器上。
全面剖析XAgent
XAgent是一個功能強大的間諜程序。成功安裝在iOS 7上之后,就會隱藏了圖標,然后默默的在后臺運行。當我們試圖阻止其進程時,它會立即重新啟動。但奇怪的是,XAgent在iOS 8 上卻不會隱藏圖標,也不會自動的重新啟動。難道是XAgent的開發時間早于iOS 8?
數據竊取能力
攻擊者開發該程序的目的是搜集iOS移動設備上的所有信息,包括:
1. 文本信息
2. 聯系人列表
3. 圖片
4. 地理位置數據
5. 音頻數據
6. 安裝的應用程序列表
7. 進程列表
8. Wi-Fi狀態
圖1
C&C通信
除了搜集信息外,它還會通過HTTP向外發送信息。
格式化的日志信息
該惡意程序的日志以HTML形式書寫,并且還有顏色標識。錯誤的信息會顯示紅色,正確的信息會顯示綠色。
圖2
設計良好的代碼結構
代碼結構也是經過精心設計的,黑客們小心翼翼的維護著,并不斷的更新。如下圖:
圖3
XAgent經常使用watch, search, find, results, open, close命令。
圖4
隨機生成URI
XAgent會根據C&C服務器模板隨機生成URI(統一資源標識符)。
基本的URI如圖4,程序會從圖5所示的列表中選擇參數拼接到基本URI中。
圖5
下面是實現結果:
圖6
圖7
令牌(token)格式與編碼
XAgent間諜程序會使用特定的令牌識別哪一個模塊正在進行通信。該令牌使用Base64編碼數據,但是要隨意添加一個5字節的前綴,這樣才看著像是一個有效的Base64數據。詳見下圖中第一行代碼的“ai=”部分。
圖8
通過逆向工程的話,我們還會發現XAgent的一些其他的通信功能。
圖10
FTP通信
該應用程序還可通過FTP協議上傳文件。
圖11
剖析MadCap
MadCap和XAgent很相似,但是MadCap只能安裝在越獄后的蘋果設備上,對非越獄設備不起任何作用。
圖12
感染方式
目前為止,我們可以確定的iOS設備無須越獄也會感染惡意程序XAgent。
我們已經發現了一個真實案例:用戶設備上會出現一個“點擊此處安裝應用程序”的誘惑鏈接,地址為:https://www.{BLOCKED}/adhoc/XAgent.plist。受害者只需簡單的點擊圖片中的鏈接就中招了,
惡意程序程序通過蘋果的“特別通道”傳播——該通道原本是便于企業和開發者部署應用而設置的,它允許軟件安裝繞過App Store。
圖13
安全建議
即使你使用的是未越獄的iPhone或iPad,現在,你也要多留個心眼了——不要點擊任何可疑鏈接。
京公網安備 11010502049343號