概要  

最近威鋒技術(shù)組發(fā)布微博稱發(fā)現(xiàn)蘋果商店后臺存在漏洞，22.5萬有效蘋果賬戶密碼被盜。他們對外公布了iCloud賬號泄露查詢工具(地址)，只要輸入用戶郵箱，就可以查詢其iCloud帳號是否被盜。

在與威鋒技術(shù)組的合作過程中，我們(paloaltonetworks研究人員)選取了92個最新iOS惡意軟件家族的樣本。通過分析樣本我們發(fā)現(xiàn)這個叫做“KeyRaider”的終極惡意軟件。我們認為這是目前針對蘋果賬戶的影響最為嚴重的惡意軟件。

KeyRaider的目標是越獄iOS設(shè)備，并通過位于中國的第三方Cydia存儲庫進行分布。總的來說，這一威脅目前可能影響到來自18個國家的用戶，其中包括中國、法國、俄羅斯、日本、英國、美國、加拿大、德國、澳大利亞、以色列、意大利、西班牙、新加坡和韓國。

惡意軟件通過MobileSubstrate釣取系統(tǒng)進程，然后通過攔截設(shè)備上iTunes的流量盜取蘋果賬戶用戶名、密碼以及設(shè)備GUID。KeyRaider盜取蘋果推送通知服務(wù)的證書以及私鑰，竊取并分享App Store購物信息，禁用iPhone和iPad上本地和遠程的解鎖功能。

KeyRaider成功盜取了22.5萬有效蘋果賬戶以及成千上萬的證書、私鑰以及購物憑證。惡意軟件將盜取的數(shù)據(jù)傳到智慧與控制(C2)服務(wù)器上，而服務(wù)器本身就存在漏洞，因此用戶信息再度暴露。

攻擊原本的目的是為了讓使用了兩個越獄工具的iOS用戶能夠在沒有實際支付的情況下，使用官方應(yīng)用商店的收費App。而越獄軟件通常能幫助用戶實現(xiàn)這一無法在正常情況下完成的行為。

而這兩個越獄工具能夠從C2服務(wù)器上劫持app購買請求、下載用戶信息或者購買憑證，然后用戶模仿iTunes協(xié)議登錄Apple的服務(wù)器并執(zhí)行購買app或者其他項目的請求。這兩個越獄工具的下載量已超過2萬次，也就意味著有至少2萬用戶正在濫用22.5萬的被盜憑證。

一些受害者稱他們被盜的蘋果賬戶顯示了異常app購買記錄，不僅如此，還有人的手機收到了勒索要求。

這里我們將介紹這個惡意軟件和攻擊的詳細情況。

發(fā)現(xiàn)KeyRaider

首次發(fā)現(xiàn)這個漏洞的是來自揚州大學的一個學生，網(wǎng)名為“i_82”，他同時也是威鋒技術(shù)組的成員。

事情從頭說起：

6月30日，蘋果發(fā)布iOS 8.4正式版。

7月初，第一次大規(guī)模盜刷事件爆發(fā)，7月17-20日，第二次大規(guī)模盜刷事件爆發(fā)。而這些被盜刷的用戶包括下載過各類助手軟件、越獄過的用戶，也包括從未越獄過的用戶。

8月25日凌晨，威鋒技術(shù)組成員發(fā)現(xiàn)某紅包助手后臺漏洞，發(fā)現(xiàn)20萬個左右有效的iCloud賬戶與密碼。并于當天下午將漏洞提交。

8月26日下午，威鋒技術(shù)組成員在其微博上公布，泄露的22W賬號只扒下12W時后臺數(shù)據(jù)就被清除了，并在隨后指出，基本上確認這次的盜號事件和刀八木有脫不開的關(guān)系!如果有安裝它的插件的(不管什么插件)請全部卸載并更改您的全部的Apple相關(guān)的密碼!!!

8月27日凌晨，威鋒技術(shù)組對外公布iCloud帳號泄露查詢工具正式對外公開查詢，查詢地址為：http://www.weiptech.org/ 。包含被扒下來的，被泄露盜取的Apple ID的有效數(shù)據(jù)量為105275條，其中來源八木的有69485條，來源iwexin的有9223條。而為了保護用戶隱私，防止密碼二次泄露，該查詢工具只會顯示被盜密碼前后的數(shù)據(jù)，其他部分均予以隱去。

8月27日上午，蘋果官方做出反應(yīng)。威鋒技術(shù)組將相關(guān)賬號提供給蘋果安全部門后，蘋果對這批賬號做了安全措施。如果用戶在登錄iCloud要求修改密碼，則有可能該賬戶在本次泄露名單中。

8月27日中午，威鋒技術(shù)組發(fā)布微博，“自12:57分開始，威鋒技術(shù)組提供查詢服務(wù)器遭受DDOS攻擊。目前服務(wù)器訪問緩慢，正在聯(lián)系威鋒網(wǎng)總部處理。”這意味著，在威鋒技術(shù)組揪出盜竊賬戶黑手后，對一部分黑手的既得利益產(chǎn)生影響，從而受到了惡意攻擊。

8月27日下午，威鋒技術(shù)組成員再一次發(fā)表微博，提醒所有iCloud用戶，改密碼是當務(wù)之急，開二步驗證式無法杜絕利用刷榜的，最重要最重要最重要的是防止被惡意鎖機!

研究者通過觀察這些用戶安裝的越獄軟件，發(fā)現(xiàn)一個越獄軟件收集用戶信息并上傳到一個特殊網(wǎng)站上面。而這個網(wǎng)站有一個簡單的SQL注入漏洞，允許攻擊者訪問“top100”數(shù)據(jù)庫中的全部記錄。

圖1.威鋒技術(shù)組在C2服務(wù)器中發(fā)現(xiàn)的SQL注入漏洞

在這個數(shù)據(jù)庫中，有一個表名為“aid“，包含225941個條目。盡管部分條目有加密，但是其中仍然有大約2萬條中包含用戶名、密碼和GUID明文。

通過逆向越獄軟件，研究者發(fā)現(xiàn)一段代碼使用定向鍵“mischa07“的AES加密。使用這個靜態(tài)密碼能夠成功破解加密的用戶名和密碼。后來經(jīng)證實，這些賬戶都是蘋果用戶名及憑證。研究者下載了大約一半的數(shù)據(jù)之后，網(wǎng)站管理員發(fā)現(xiàn)這一情況隨即關(guān)閉了服務(wù)器。

然而分析了威鋒技術(shù)組的報告之后，Palo Alto網(wǎng)絡(luò)研究人員并沒有發(fā)現(xiàn)報告中提到的包含竊取密碼并將其上傳到C2服務(wù)器的惡意代碼。然而，通過威鋒提供的相關(guān)信息，我們發(fā)現(xiàn)存在其他惡意軟件在收集用戶被盜的信息并將其上傳到同樣的惡服務(wù)器上面。#p#

KeyRaider分布

KeyRaider只能通過越獄iOS設(shè)備的Cydia儲備庫傳播。與其他(例如BigBoss或ModMyi)Cydia源不同的是，威鋒源為每個注冊用戶提供了私人存儲庫功能，因此他們能夠直接自行下載app并且相互分享。

一個名為“mischa07”的威鋒網(wǎng)用戶，上傳了15個KeyRaider樣本到他自己的私人存儲庫中(圖2)，由于他的名字也被編碼到惡意軟件的加密和解密秘鑰當中(圖3)，因此我們強烈懷疑mischa07便是KeyRaider的原作者。 

圖2.mischa07的個人Cydia存儲庫

圖3.“mischa07”是惡意軟件中的一個硬編碼加密秘鑰

從威鋒網(wǎng)的數(shù)據(jù)可以看出，mischa07上傳的工具已經(jīng)被下載超過數(shù)萬次。這些應(yīng)用和工具為游戲作弊、系統(tǒng)優(yōu)化以及app去廣告服務(wù)。

以下是mischa07的兩個比較有意思的工具：

·iappstore(圖5)：為用戶免費下載蘋果官方應(yīng)用商店中的付費軟件提供服務(wù)。

·Iappinbuy：這個軟件可以把那些應(yīng)用內(nèi)購買的項目都變成免費的。

Mischa07甚至在論壇發(fā)布了這兩個工具的帖子進行推廣，但是一些用戶還是不相信它們所謂的神奇功能。然而，iappinbuy仍然獲得了20199次下載量(圖4)，而iappstore只有62次(這僅僅是最新版本的數(shù)量)。 

圖4.一個惡意軟件樣本下載超過3萬次

 

 

圖5.iappstore工具能夠直接從App Store安裝付費app 

圖6.作者發(fā)帖推廣他的iappstore工具

威鋒網(wǎng)用戶“氵刀八木”或稱“bamu”，被認為是KeyRaider惡意軟件的另一個傳播者。氵刀八木因為其經(jīng)常提供有用的工具而很受歡迎。攻擊被曝光后，氵刀八木刪除了幾乎所有他上傳至存儲庫的惡意軟件，并在論壇對這一指責予以否認。然而，在核查過他上傳的所有app或者工具之后，我們發(fā)現(xiàn)至少有77人的iOS設(shè)備安裝了KeyRaider惡意軟件。

Mischa07創(chuàng)建了這個惡意軟件并且開發(fā)了不同版本，而bamu的惡意程序則主要通過惡意軟件重新包裝(例如iFile、iCleanPro和avfun的)已有應(yīng)用程序或者工具。

KeyRaider向C2服務(wù)器上傳劫持的用戶密碼時，里面會包括一個在HTTP URL中用于追蹤感染源的參數(shù)，名為“flag”或者“from”。在mischa07的代碼中，這些參數(shù)的值總是應(yīng)用程序的名稱，例如“letv”。而在bamu的樣本中，所有的值永遠都是“bamu”。從泄露數(shù)據(jù)中發(fā)現(xiàn)，67%的被盜數(shù)據(jù)來源于bamu。

由于bamu僅是一個散布者，我們后面的分析會聚焦于直接發(fā)布者mischa07的樣本。#p#

被盜取的用戶數(shù)據(jù)

KeyRaider收集了三類用戶數(shù)據(jù)并且用HTTP上傳到了自己的C2服務(wù)器上，我們定位到了兩種C2服務(wù)器：

·top100.gotoip4[.]com

·www.wushidou[.]cn

在分析過程中，這些域名可解析到IP地址113.10.174.167。在這個服務(wù)器上“top100”數(shù)據(jù)庫有三個表：“aid”、“cert”和“other”。KeyRaider在服務(wù)器上使用了四個PHP腳本來獲取數(shù)據(jù)庫：aid.php、cert.php、other.php以及data.php。

通過分析代碼和數(shù)據(jù)，我們發(fā)現(xiàn)"aid"表格存儲了225941條泄漏的Apple用戶名，密碼，設(shè)備的GUID(全球唯一標識符)。"cert"表格存儲5841個受感染設(shè)備的入口和私鑰，它們可用于蘋果推送消息。最后，"other"表格存儲了超過3000設(shè)備GUID入口和App Store的購買憑證。

圖7.一個被泄露的cert表中條目

我們整理了泄漏Apple用戶的email地址發(fā)現(xiàn)超過一半用的是QQ郵箱，下面是TOP10的泄漏郵箱的域名(近六成是中國用戶)：

· @qq.com

· @163.com

· @icloud.com

· @gmail.com

· @126.com

· @hotmail.com

· @sina.com

· @vip.qq.com

· @me.com

· @139.com

然而我們也發(fā)現(xiàn)了一些其他地區(qū)的email地址：

· tw: Taiwan臺灣

· fr: France法國

· ru: Russia俄羅斯

· jp: Japan日本

· uk: United Kingdom英國

· ca: Canada加拿大

· de: Germany德國

· au: Australia澳大利亞

· us: United States美國

· cz: Czech Republic捷克

· il: Israel以色列

· it: Italy意大利

· nl: Netherlands荷蘭

· es: Spain西班牙

· vn: Vietnam越南

· pl: Poland波蘭

· sg: Singapore新加坡

· kr: South Korea韓國

惡意行為

KeyRaider的惡意代碼存在于Mach-O動態(tài)庫，作為MobileSubstrate框架的插件存在。(iOS系統(tǒng)越獄環(huán)境下安裝絕大部分插件，必須首先安裝MobileSubstrate) 惡意軟件通過此框架就可以鉤取任意APP甚至系統(tǒng)進程的API。

曾經(jīng)也有許多的IOS惡意軟件利用了MobileSubstrate框架。例如Unflod(又稱SSLCreds或Unflod baby panda)被Reddit上的用戶發(fā)現(xiàn)，SektionEins分析其通過攔截SSL加密線路偷取Apple賬戶密碼。AppBuyer去年被發(fā)現(xiàn)應(yīng)用同樣的技術(shù)偷取密碼并從APP Store購買APP。KeyRaider在此技術(shù)上又向前了一步，實現(xiàn)了以下功能：

1、偷取用戶賬戶和設(shè)備GUID

2、偷取證書和蘋果推送的私鑰

3、預(yù)防感染設(shè)備通過密碼或iCloud設(shè)備解鎖#p#

偷取蘋果賬戶數(shù)據(jù)

大多數(shù)KeyRaider的樣本鉤取SSL的讀寫函數(shù)都在itunesstored的進程里，itunesstored是系統(tǒng)的守護進程，用iTurnes協(xié)議與App Store通信。

圖8.KeyRaider鉤取itunesstored中的SSL讀寫函數(shù)

當App Store 客戶端向用戶請求數(shù)據(jù)登錄時，信息是通過SSL加密會話傳輸給App Store 的服務(wù)器，KeyRaider尋找這種登錄會話和特定的方式在數(shù)據(jù)傳輸過程中發(fā)現(xiàn)用戶的賬戶信息，設(shè)備GUID(圖9)。

圖9.尋找SSL數(shù)據(jù)中的蘋果賬戶信息

接著，在SSL讀的替代函數(shù)中，這些證書都是用固定密鑰“mischa07”AES算法加密后發(fā)給KeyRaider的C2服務(wù)器(圖10)。

圖10.上傳數(shù)據(jù)到C2服務(wù)器

除此之外，SSL鉤取函數(shù)利用MGCopyAnswer(“UniqueDeviceID”)讀取設(shè)備GUID。

偷取用戶證書和私鑰

一些樣本中，KeyDaider 同樣鉤取了apsd進程(一種IOS用于推送消息的守護進程)鉤取了安全框架中定義的SecltemCopyMatching 函數(shù)，這個API用于尋找密鑰項來匹配查詢詞條。

安裝鉤取之后，當查詢詞條為“APSClientIdentity”時，KeyRaider執(zhí)行原始安全項目復(fù)制匹配，用 SecIdentityCopyCertificate和SecIdentityCopyPrivateKey 從原始函數(shù)返回結(jié)果復(fù)制證書和私鑰，這些證書和GUID一起發(fā)送到C2服務(wù)器。IOS鑰匙鏈中以APSClientIdentity標記的是IOS中用來推送消息的密鑰。攻擊者可以利用這些證書創(chuàng)建一個假的系統(tǒng)推送：

圖11.復(fù)制推送服務(wù)器的證書以及秘鑰

圖12.上傳證書和秘鑰

設(shè)備上鎖

當KeyRaider鉤取SecItemCopyMatching時除了攔截了通知的證書還將查詢請求標簽和一個非常特殊的標簽“com.apple.lockdown.identity.activation”做了對比，如果匹配就把請求置零(圖13)。 

圖13.設(shè)置鎖定激活結(jié)果總為零

此時網(wǎng)絡(luò)沒有任何com.apple.lockdown.identity.activation的公共記錄，我們猜測這個查詢用于解鎖設(shè)備。通過置零操作預(yù)防用戶解鎖設(shè)備，本地輸入密碼和云端解鎖都不行。

樣本分析至此，這段代碼獨立而且沒有被任何代碼引用，只在此處使用并以函數(shù)輸出，但是我們有證據(jù)表明利用此函數(shù)的攻擊已經(jīng)發(fā)生。

共享免費APP

KeyRaider一些樣本執(zhí)行代碼用來從C2服務(wù)器下載購買憑據(jù)和蘋果賬戶，然而只有在 iappstore和iappinbuy 越獄配置中才起作用。

據(jù)作者描述，iappstore可以用于免費下載任何應(yīng)用，讓我們來看看怎么實現(xiàn)。

這個應(yīng)用兩次鉤取了SSLWrite API ，第一次偷取密碼，第二次試圖判定當前http請求是否和 “POST /WebObjects/MZBuy.woa/wa/buyProduct”一致，這是用于判定當前會話是否在用iTunes協(xié)議購買APP(圖14)。

圖14.鉤取app購買會話

如果請求是在購買，下一次SSLWrite調(diào)用，鉤取代碼匹配數(shù)據(jù)中關(guān)鍵字“salableAdamId”, “appExtVrsId”, “vid”, “price”, “guid”, “installedSoftwareRating” 和 “pricingParameters” 用以定位當前APP的支付信息，如果APP不是免費的 fire()函數(shù)調(diào)用。

fire()函數(shù)調(diào)用readAid()函數(shù)，readAid()讀取本地文件/var/mobile/Documents/iappstore_aid.log 。此文件包含蘋果用戶賬戶信息，設(shè)備GUID，iTurnes 會話 token，cookie，電話號碼，操作系統(tǒng)信息和iTunes CDN 服務(wù)器編號。函數(shù)分析數(shù)據(jù)并創(chuàng)建賬戶對象。

如果文件不存在，就調(diào)用readAidUrl()函數(shù)就從C2服務(wù)器下載新的賬戶信息再創(chuàng)建賬戶對象(圖15)，圖16表示從服務(wù)器下載的賬戶。

圖15.從C2服務(wù)器下載蘋果賬號 

圖16.被盜取的蘋果賬戶正在從C2服務(wù)器下載

創(chuàng)建賬戶對象后，fire()生成一種賬戶信息參數(shù)表，接著調(diào)用login()，sendBuy()。

login()函數(shù)用參數(shù)表語句和AppStore賬戶創(chuàng)建一個HTTP連接到下面的url：

· p*-buy.itunes.apple.com/WebObjects/MZFinance.woa/wa/authenticate

這導致當前iTunes會話遠程賬戶登錄(圖17)。 

圖17.模擬登錄協(xié)議

登錄請求后，login()分析返回的結(jié)果，cookie，token和其他信息并和密碼一起保存到本地iappstore_aid.log 以便下次購買。如果登錄失敗密碼錯誤，再次調(diào)用readAidUrl()從C2服務(wù)器獲取另一個帳號。

sendBuy()函數(shù)工作類似login()函數(shù) 請求了另一個url用于APP購買認證：

· p*-buy.itunes.apple.com/WebObjects/MZBuy.woa/wa/buyProduct

這么一套程序下來，iappstore tweak 可以用其他人的賬戶成功購買任何app。

至此，除了這些作用外，兩個獨立函數(shù)versifySF()和versifySF2()在樣本中也執(zhí)行了，KeyRaider也試圖獲取并使用賬戶密保問題和答案，這一部分功能在樣本中還沒有完成。

iappinpay的功能類似于iappstore(圖18)，唯一的區(qū)別是購買接口改變和利用一些變量，因為C2服務(wù)器數(shù)據(jù)庫也存儲著之前的APP購買的憑證，看起來作者還計劃著重用這些憑證，可能把它們發(fā)送到手機到證明之前已經(jīng)買過了這個APP。 

圖18.In-App-Purchase 認證請求#p#

劫持手機勒索贖金

除了偷賬戶買app之外，KeyRaider還有劫持ios手機勒索的功能。

一些之前的iPhone勒索攻擊基于iCloud服務(wù)遠程控制手機技術(shù)。其中有一些重置密碼就可以重新控制iCloud。KeyRaider不一樣，它本身禁止任何的解鎖操作，包括輸密碼和iCloud重置。利用私鑰和證書可以直接發(fā)提示信息要求贖金，不用經(jīng)過蘋果的推送服務(wù)。因為這種設(shè)計，以前的解決辦法都無效了。

我們知道KeyRaider已經(jīng)能劫持勒索了，作為一個受害者你只能苦逼的看到以下畫面 解鎖加QQ 和電話(圖19)。

[[147771]]

圖19.被鎖iPhone收到的勒索信息

其他的潛在危險

早在四月的Palo Alto Networks Ignite 大會上，我們介紹了地下市場和IOS攻擊的供應(yīng)鏈，KeyRaider在此鏈條中扮演了一個非常重要的角色。

以一個受害者的蘋果賬戶密碼，攻擊者可以發(fā)起任何附加的攻擊。例如，通過iCloud控制設(shè)備，竊取私人信息包括短信記錄，照片，郵件，文件和地理位置。2014年好萊塢艷照門事件，引起公眾的廣泛重視蘋果賬戶認證的潛在威脅。

另外，還有好多方法利用這些被盜賬戶：

APP升級

一些開發(fā)者會付錢給自己的APP提升商店中的排名，裝機量是提升排名的重要因素。利用竊取的數(shù)據(jù)，攻擊者很容易安裝升級APP以提升排名。事實上，許多KeyRaider的受害者聲稱他們的蘋果賬戶有異常的下載歷史使它們發(fā)現(xiàn)了這樣的攻擊。

現(xiàn)金返回

攻擊者用竊取的帳號從APPStore購買付費的APP。費用由受害者出，但是收益會流到蘋果公司并給開發(fā)者一部分。開發(fā)者和攻擊者串通分臟，像APPBuyer那樣運作是完全可能的事情。

垃圾郵件

合法的蘋果賬戶可以單獨賣給垃圾郵件發(fā)送方。以前SMS垃圾郵件發(fā)送需要花錢而且容易被查水表。然而，基于iMessage的發(fā)送僅需要網(wǎng)絡(luò)和接受者的ID。這種方法在近幾年非常流行。

勒索

手握受害者的賬戶信息，它們的設(shè)備和iCloud中的文件對攻擊者來說都會產(chǎn)生許多附加收益。

設(shè)備解鎖

這些竊取的賬戶仍然可以在其他的市場上售賣。蘋果有一個安全機制預(yù)防設(shè)備丟失或者設(shè)備被擦除重新售賣，需要你在擦除之前認證蘋果帳戶。如今這有一個個人市場定位設(shè)備的賬戶信息。

未來的攻擊方向

結(jié)合iCloud的個人信息，竊取的賬戶仍可用于社會工程，欺騙和定點攻擊。

預(yù)防和防護

一定要記住KeyRaider只運行在越獄的IOS設(shè)備上，沒有越獄的IOS設(shè)備不受此類攻擊的影響。

Palo Alto網(wǎng)絡(luò)8月26日提供了被盜賬戶的信息。威鋒技術(shù)組在攻擊者修復(fù)漏洞之前只能修復(fù)大約一半的賬戶。從不信任的Cydia資源安裝的APP或優(yōu)化工具仍然受影響。

Palo Alto網(wǎng)絡(luò)已經(jīng)發(fā)布了DNS簽名覆蓋了KeyRaider的C2服務(wù)線路防止惡意軟件。

用戶有以下措施判斷設(shè)備是否被感染：

1、通過Cydia安裝openssh 服務(wù)

2、SSH連接設(shè)備

3、打開/Library/MobileSubstrate/DynamicLibraries/ 檢索以下字符串：

· wushidou

· gotoip4

· bamu

· getHanzi

如果任何dylib文件包含其中任何一個字符串，我們建議刪除它并刪除同名的參數(shù)表文件，然后重啟設(shè)備。

還建議所有受影響的用戶刪除惡意軟件后修改蘋果賬戶的密碼，開啟蘋果賬戶的二次認證。查看詳細點擊這里。

首先建議不想遭受此類攻擊的用戶，可以避免的話萬萬不要給自己的iphone或ipad越獄。此時，Cydia的程序庫對上傳的軟件沒有任何嚴格的檢查措施，用Cydia的程序需要自己承擔風險。

樣本信息

一些KeyRaider的樣本SHA-1值陳列如下：

9ae5549fdd90142985c3ae7a7e983d4fcb2b797f CertPlugin.dylib

bb56acf8b48900f62eb4e4380dcf7f5acfbdf80d MPPlugin.dylib

5c7c83ab04858890d74d96cd1f353e24dec3ba66 iappinbuy.dylib

717373f57ff4398316cce593af11bd45c55c9b91 iappstore.dylib

8886d72b087017b0cdca2f18b0005b6cb302e83d 9catbbs.GamePlugin_6.1-9.deb

4a154eabd5a5bd6ad0203eea6ed68b31e25811d7 9catbbs.MPPlugin_1.3.deb

e0576cd9831f1c6495408471fcacb1b54597ac24 9catbbs.iappinbuy_1.0.deb

af5d7ffe0d1561f77e979c189f22e11a33c7a407 9catbbs.iappstore_4.0.deb

a05b9af5f4c40129575cce321cd4b0435f89fba8 9catbbs.ibackground_3.2.deb

1cba9fe852b05c4843922c123c06117191958e1d repo.sunbelife.batterylife_1.4.1.deb

附上一枚KeyRaider樣本，解壓密碼KeyRaider

鳴謝

特別鳴謝揚州大學的i_82童鞋和威鋒科技組與我們分享信息、報道以及各種有用的信息;

感謝威鋒科技的CDSQ和感謝Weiphone提供樣本;

感謝烏云社區(qū)Xsser和Fenggou信息分享;

感謝Palo Alto 網(wǎng)絡(luò)的Sereyvathana Ty、Zhaoyan Xu 和 Rongbo Shao 察覺了威脅;

感謝Palo Alto網(wǎng)絡(luò)Ryan Olson的審校工作。

*PaloAlto報告作者：ClaudXiao，主體內(nèi)容取材于該報告。