趨勢(shì)科技的安全專(zhuān)家在調(diào)查一起網(wǎng)絡(luò)間諜活動(dòng)時(shí)，發(fā)現(xiàn)了一款特別的iOS設(shè)備間諜程序。它可以竊取未越獄iOS用戶(hù)的照片、短信、聯(lián)系人列表和其他數(shù)據(jù)。但值得注意的是，這種惡意軟件仍然無(wú)法在未經(jīng)用戶(hù)允許的情況下安裝。

[[127495]]

間諜活動(dòng)背景

Operation Pawn Storm是一起有關(guān)經(jīng)濟(jì)、政治的網(wǎng)絡(luò)間諜活動(dòng)，主要目標(biāo)是各國(guó)的軍事、政府和媒體。這一活動(dòng)從2007年就開(kāi)始，一直活躍至今。

安全研究人員發(fā)現(xiàn)，該間諜活動(dòng)主要使用了兩款?lèi)阂獬绦颍阂粋€(gè)叫做XAgent，另一個(gè)叫做MadCap(與一款iOS游戲重名)。這些惡意間諜軟件主要用于竊取iOS用戶(hù)的私人數(shù)據(jù)、音頻、截圖等，然后將竊取到的數(shù)據(jù)傳輸?shù)竭h(yuǎn)程C&C(命令與控制)服務(wù)器上。

全面剖析XAgent

XAgent是一個(gè)功能強(qiáng)大的間諜程序。成功安裝在iOS 7上之后，就會(huì)隱藏了圖標(biāo)，然后默默的在后臺(tái)運(yùn)行。當(dāng)我們?cè)噲D阻止其進(jìn)程時(shí)，它會(huì)立即重新啟動(dòng)。但奇怪的是，XAgent在iOS 8 上卻不會(huì)隱藏圖標(biāo)，也不會(huì)自動(dòng)的重新啟動(dòng)。難道是XAgent的開(kāi)發(fā)時(shí)間早于iOS 8?

數(shù)據(jù)竊取能力

攻擊者開(kāi)發(fā)該程序的目的是搜集iOS移動(dòng)設(shè)備上的所有信息，包括：

1. 文本信息

2. 聯(lián)系人列表

3. 圖片

4. 地理位置數(shù)據(jù)

5. 音頻數(shù)據(jù)

6. 安裝的應(yīng)用程序列表

7. 進(jìn)程列表

8. Wi-Fi狀態(tài)

圖1

C&C通信

除了搜集信息外，它還會(huì)通過(guò)HTTP向外發(fā)送信息。

格式化的日志信息

該惡意程序的日志以HTML形式書(shū)寫(xiě)，并且還有顏色標(biāo)識(shí)。錯(cuò)誤的信息會(huì)顯示紅色，正確的信息會(huì)顯示綠色。

圖2

設(shè)計(jì)良好的代碼結(jié)構(gòu)

代碼結(jié)構(gòu)也是經(jīng)過(guò)精心設(shè)計(jì)的，黑客們小心翼翼的維護(hù)著，并不斷的更新。如下圖：

圖3

XAgent經(jīng)常使用watch, search, find, results, open, close命令。

圖4

隨機(jī)生成URI

XAgent會(huì)根據(jù)C&C服務(wù)器模板隨機(jī)生成URI(統(tǒng)一資源標(biāo)識(shí)符)。

基本的URI如圖4，程序會(huì)從圖5所示的列表中選擇參數(shù)拼接到基本URI中。

圖5

下面是實(shí)現(xiàn)結(jié)果：

圖6

圖7

令牌(token)格式與編碼

XAgent間諜程序會(huì)使用特定的令牌識(shí)別哪一個(gè)模塊正在進(jìn)行通信。該令牌使用Base64編碼數(shù)據(jù)，但是要隨意添加一個(gè)5字節(jié)的前綴，這樣才看著像是一個(gè)有效的Base64數(shù)據(jù)。詳見(jiàn)下圖中第一行代碼的“ai=”部分。

圖8

通過(guò)逆向工程的話，我們還會(huì)發(fā)現(xiàn)XAgent的一些其他的通信功能。

圖10

FTP通信

該應(yīng)用程序還可通過(guò)FTP協(xié)議上傳文件。

圖11

剖析MadCap

MadCap和XAgent很相似，但是MadCap只能安裝在越獄后的蘋(píng)果設(shè)備上，對(duì)非越獄設(shè)備不起任何作用。

圖12

感染方式

目前為止，我們可以確定的iOS設(shè)備無(wú)須越獄也會(huì)感染惡意程序XAgent。

我們已經(jīng)發(fā)現(xiàn)了一個(gè)真實(shí)案例：用戶(hù)設(shè)備上會(huì)出現(xiàn)一個(gè)“點(diǎn)擊此處安裝應(yīng)用程序”的誘惑鏈接，地址為：https://www.{BLOCKED}/adhoc/XAgent.plist。受害者只需簡(jiǎn)單的點(diǎn)擊圖片中的鏈接就中招了，

惡意程序程序通過(guò)蘋(píng)果的“特別通道”傳播——該通道原本是便于企業(yè)和開(kāi)發(fā)者部署應(yīng)用而設(shè)置的，它允許軟件安裝繞過(guò)App Store。

圖13

安全建議

即使你使用的是未越獄的iPhone或iPad，現(xiàn)在，你也要多留個(gè)心眼了——不要點(diǎn)擊任何可疑鏈接。