9月17日,嗅覺敏銳的國外安全公司paloalto發(fā)現(xiàn)了這個問題����,并發(fā)布第一版分析報告,阿里移動安全也發(fā)布了分析報告�����。
接下來的事情大家都知道了�����,XCodeGhost事件迅速升溫����,成為行業(yè)熱點,更多的安全團隊和專家進行了深入分析��,爆出了更多信息��。
【被遺漏的樣本行為分析】
1)在受感染的APP啟動�、后臺�����、恢復��、結束時上報信息至黑客控制的服務器
上報的信息包括:APP版本�����、APP名稱����、本地語言�、iOS版本、設備類型�����、國家碼等設備信息�,能精準的區(qū)分每一臺iOS設備�����。
上報的域名是icloud-analysis.com����,同時我們還發(fā)現(xiàn)了攻擊者的其他三個尚未使用的域名���。
圖2上傳機器數(shù)據(jù)的惡意代碼片段
2)黑客可以下發(fā)偽協(xié)議命令在受感染的iPhone中執(zhí)行
黑客能夠通過上報的信息區(qū)分每一臺iOS設備,然后如同已經(jīng)上線的肉雞一般���,隨時����、隨地����、給任何人下發(fā)偽協(xié)議指令,通過iOS openURL這個API來執(zhí)行�����。
相信了解iOS開發(fā)的同學都知道openURL這個API的強大�,黑客通過這個能力,不僅能夠在受感染的iPhone中完成打開網(wǎng)頁���、發(fā)短信����、打電話等常規(guī)手機行為,甚至還可以操作具備偽協(xié)議能力的大量第三方APP����。實際上,iPhone上的APP如果被感染���,完全可以理解為黑客已經(jīng)基本控制了你的手機�����!
圖3控制執(zhí)行偽協(xié)議指令的惡意代碼片段
3)黑客可以在受感染的iPhone中彈出內(nèi)容由服務器控制的對話框窗口
和遠程執(zhí)行指令類似�,黑客也可以遠程控制彈出任何對話框窗口�。至于用途,將機器硬件數(shù)據(jù)上報�����、遠程執(zhí)行偽協(xié)議命令���、遠程彈窗這幾個關鍵詞連起來��,反正我們是能夠通過這幾個功能�����,用一點點社工和誘導的方式��,在受感染的iPhone中安裝企業(yè)證書APP�。裝APP干什么��?還記得幾個月之前曝光的Hacking Team的iPhone非越獄遠控(RCS)嗎�����?
圖4控制遠程彈窗的惡意代碼片段
小編推薦閱讀
