未越狱也中招:iOS平台首个间谍应用(APP)XAgent样本分析

如果你是一名涉密人员(如军官、国防安全相关人士),使用过iPhone/iPad(iOS7.1以上版本),那么请赶紧仔细检测你的设备吧!我需要强调的是:这款恶意间谍软件可以在未越狱的iphone上运行。

强大的间谍软件XAgent

趋势科技的安全专家在调查一起网络间谍活动时,发现了这款特别的iOS设备间谍程序。它可以窃取未越狱iOS用户的照片、短信、联系人列表和其他数据。

FreeBuf在2月6日进行了相关报道

如果你的iOS版本是7.1以上的普通用户,你其实不用特别担心。因为这款APP主要就是针对国家相关人员进行间谍活动,有很强的针对性,目标群体并不是老百姓。另外由于这类App的敏感性,它是不可能通过苹果APP STORE传播的。

值得一提的是,由于这款间谍软件会不停的调用GPS来定位你目前的地理位置,因此一旦感染,你可能最先会注意到iPhone电池消耗过快的异常现象。

谁是幕后黑手

那么问题来了:这么diao的间谍应用是谁写的呢?

我们在该应用的plist中看到这么一段:

<key>BuildMachineOSBuild</key>

<string>13E28</string>

..

<key>DTXcode</key>

<string>0511</string>

<key>DTXcodeBuild</key>

<string>5B1008</string>

..

<key>LSRequiresIPhoneOS</key>

<true/>

我们可以判断:

1、恶意软件作者使用iMac (21.5-inch, Mid 2014)进行编译的(BuildMachineOSBuild,可在http://support.apple.com/en-us/HT1159中查询到)

2、恶意软件作者使用XCode 5.11码的代码(DTXcodeBuild)

3、恶意软件的目标仅仅是iphone,不包括ipad等其他苹果产品

4、最后,其代码中各种英文语法错误信息,暴露出作者的母语并非英语

间谍软件对我们做了什么?

接下来我们看看这间谍软件都做了些什么事

获取设备信息

开始记录

获取音频文件

获取联系人

获取当前位置

获取应用程序列表

控制WIFI状态

从照片库中获取照片

列出指定目录

获得指定文件

获取进程列表

获取短信

恶意代码还有一些比较有趣的地方,间谍软件会检测设备是否有越狱,如果是越狱设备,它会尝试获取你的隐私文件。

间谍软件会在/private/var/wireless/Library/Preferences/com.apple.commcenter.plist. 中获取联系人电话号码。

<dict>

<key>CarrierBundleName</key>

<string>20810</string>

<key>ICCID</key>

<string>89XXXXXXXXXXXXXXXXXXXX</string>

<key>LASDNextUpdate</key>

<date>2015-02-22T10:19:13.915174Z</date>

<key>NextUpdate</key>

<date>2015-01-30T17:26:37.694534Z</date>

<key>PhoneNumber</key>

<string>+XXXXXXXXXXX</string>

</dict>

可以获取到音频文件,联系人列表,短信,照片,设备中安装的应用程序列表。这款间谍软件可以做到对目标进行实时监控,因为这款软件已经能够列出目录内容,检索指定文件,以及显示运行进程。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-02-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏智能计算时代

SCADA系列 系统评估

介绍 监控和数据采集(SCADA)是一种允许主设备操作员监视和控制分布在各个远程站点之间的进程的系统。 正确设计的SCADA系统通过消除维修人员访问每个站点进行...

43350
来自专栏知晓程序

不学 PS,不用美图,我也能一键做出高端海报

14450
来自专栏知晓程序

慎点!这个鬼畜的小程序,听了容易上瘾......

那些录音到底怎么来的?如果你也感到好奇,那么,知晓程序(微信号 zxcx0101)今天推荐小程序你一定会喜欢。

6320
来自专栏Crossin的编程教室

【每周一坑】让程序替你等待

管挖不管埋的每周一坑又来了,今天是个实用的坑。 在1999年的时候,曾经有人搞过一场真人秀,就是给你一些钱和“电子货币”,把你关在一个可以上网的房间里。你需要借...

360100
来自专栏java一日一条

重新使用Java的七个理由

O’Reily正在庆祝Java7的发布,以及7月25日到27日即将在波兰开展的 OSCON Java 大会。

9710
来自专栏申龙斌的程序人生

搞定GTD - 掌控流程之五:行动

完美的计划而不行动不如没有计划,流程的最后一步就是要马上行动。新的一天开始时,事情和头绪非常多,该干哪一项呢?实际上答案非常简单,相信你的感觉、你的直觉。 在大...

37390
来自专栏腾讯大讲堂的专栏

爬取了陈奕迅新歌《我们》10万条评论数据发现:原来,有些人只适合遇见

37370
来自专栏吉浦迅科技

在Jetson TX开发套件上使用QT Creator

在视频中,Jetsonhacks演示了如何在NVIDIA Jetson TX开发工具包中使用QTCreator IDE来cmake一个应用,他用libreals...

10920
来自专栏安恒信息

见招拆招 六招轻松抓住代维违规的“黑手”

所谓“代维”,是指企业将自己的IT系统外包给第三方进行包括系统配置、日常运维、系统管理等管理权限的操作。让专业的人干专业的事,这可以使企业本身从繁重的IT运维中...

32050
来自专栏web前端教室

仿制 豆瓣电影 app beta(一)

今天做一个简单的仿制 豆瓣电影的app,因为白天要讲课,所以只能晚上等孩子睡了,再抽空来写写,所以。。。界面上看起来确实比较简陋,但功能都还是ok的。 ? <!...

36460

扫码关注云+社区

领取腾讯云代金券