趨勢科技的安全專家在調(diào)查一起網(wǎng)絡間諜活動時，發(fā)現(xiàn)了一款特別的iOS設備間諜程序。它可以竊取未越獄iOS用戶的照片、短信、聯(lián)系人列表和其他數(shù)據(jù)。但值得注意的是，這種惡意軟件仍然無法在未經(jīng)用戶允許的情況下安裝。

[[127495]]

間諜活動背景

Operation Pawn Storm是一起有關經(jīng)濟、政治的網(wǎng)絡間諜活動，主要目標是各國的軍事、政府和媒體。這一活動從2007年就開始，一直活躍至今。

安全研究人員發(fā)現(xiàn)，該間諜活動主要使用了兩款惡意程序：一個叫做XAgent，另一個叫做MadCap(與一款iOS游戲重名)。這些惡意間諜軟件主要用于竊取iOS用戶的私人數(shù)據(jù)、音頻、截圖等，然后將竊取到的數(shù)據(jù)傳輸?shù)竭h程C&C(命令與控制)服務器上。

全面剖析XAgent

XAgent是一個功能強大的間諜程序。成功安裝在iOS 7上之后，就會隱藏了圖標，然后默默的在后臺運行。當我們試圖阻止其進程時，它會立即重新啟動。但奇怪的是，XAgent在iOS 8 上卻不會隱藏圖標，也不會自動的重新啟動。難道是XAgent的開發(fā)時間早于iOS 8?

數(shù)據(jù)竊取能力

攻擊者開發(fā)該程序的目的是搜集iOS移動設備上的所有信息，包括：

1. 文本信息

2. 聯(lián)系人列表

3. 圖片

4. 地理位置數(shù)據(jù)

5. 音頻數(shù)據(jù)

6. 安裝的應用程序列表

7. 進程列表

8. Wi-Fi狀態(tài)

圖1

C&C通信

除了搜集信息外，它還會通過HTTP向外發(fā)送信息。

格式化的日志信息

該惡意程序的日志以HTML形式書寫，并且還有顏色標識。錯誤的信息會顯示紅色，正確的信息會顯示綠色。

圖2

設計良好的代碼結構

代碼結構也是經(jīng)過精心設計的，黑客們小心翼翼的維護著，并不斷的更新。如下圖：

圖3

XAgent經(jīng)常使用watch, search, find, results, open, close命令。

圖4

隨機生成URI

XAgent會根據(jù)C&C服務器模板隨機生成URI(統(tǒng)一資源標識符)。

基本的URI如圖4，程序會從圖5所示的列表中選擇參數(shù)拼接到基本URI中。

圖5

下面是實現(xiàn)結果：

圖6

圖7

令牌(token)格式與編碼

XAgent間諜程序會使用特定的令牌識別哪一個模塊正在進行通信。該令牌使用Base64編碼數(shù)據(jù)，但是要隨意添加一個5字節(jié)的前綴，這樣才看著像是一個有效的Base64數(shù)據(jù)。詳見下圖中第一行代碼的“ai=”部分。

圖8

通過逆向工程的話，我們還會發(fā)現(xiàn)XAgent的一些其他的通信功能。

圖10

FTP通信

該應用程序還可通過FTP協(xié)議上傳文件。

圖11

剖析MadCap

MadCap和XAgent很相似，但是MadCap只能安裝在越獄后的蘋果設備上，對非越獄設備不起任何作用。

圖12

感染方式

目前為止，我們可以確定的iOS設備無須越獄也會感染惡意程序XAgent。

我們已經(jīng)發(fā)現(xiàn)了一個真實案例：用戶設備上會出現(xiàn)一個“點擊此處安裝應用程序”的誘惑鏈接，地址為：https://www.{BLOCKED}/adhoc/XAgent.plist。受害者只需簡單的點擊圖片中的鏈接就中招了，

惡意程序程序通過蘋果的“特別通道”傳播——該通道原本是便于企業(yè)和開發(fā)者部署應用而設置的，它允許軟件安裝繞過App Store。

圖13

安全建議

即使你使用的是未越獄的iPhone或iPad，現(xiàn)在，你也要多留個心眼了——不要點擊任何可疑鏈接。