专栏首页FreeBufFireEye:Hacking Team军火库中大量运用iOS假面攻击

FireEye:Hacking Team军火库中大量运用iOS假面攻击

在早前我们就已经发布过有关iOS假面攻击威胁的文章。到目前为止,这类攻击依旧十分流行。FireEye最近从HackingTeam军火库中发现11款iOS App使用了假面攻击,其中有一款恶意App还是针对未越狱用户的。

对这些受欢迎的社交App以及聊天App进行逆向工程并加入攻击代码。其中包括WhatsApp, Twitter, Facebook, Facebook Messenger, WeChat, Google Chrome, Viber, Blackberry Messenger, Skype,以及 VK。

与这些App的正常版本不同的是,这些假面App都含有一个泄漏敏感数据以及连接远程服务器的设计。由于App中所提供的服务,图标等与应用商店中真实的App完全相同,他们可以放心大胆的替换iOS 8.1.3版本之前的真实App。

注意,攻击者是可以远程配置图标的。所以对于高于iOS 8.1.3版本的设备,尽管假面攻击漏洞已经被修复(App使用相同的图标是不会被替换的),攻击者仍然可以通过配置一个独特的图标来部署假面App。

上图显示了经过重新打包的Facebook应用在运行时的行为,启动应用程序之后连续3次弹出请求访问照片,麦克风,以及联系人的警告。

恶意的假面攻击App利用MachO format的LC_LOAD_DYLIB命令将一个恶意的dylib (named “_PkgSign”)注入到真正的可执行文件中,这个dylib实现了恶意攻击的逻辑核心。

由于每一个假面攻击App内部结构各不相同,dylib需要使用连接不同的泄漏数据的方法。在下表中我们已经列出来,恶意dylib管理的假面攻击App的id前缀固定为“TIGI000”以及一个定制的类来远程管理恶意攻击。

注入的dylib在真正的可执行文件中连接38个类中的52个敏感函数,所有连接的类方法都符合真实应用程序的关键功能。

比如在Whats App中使用“[SKPConversation OnMessage:andMessageobjectid:]”拦截短信,以及“[VideoVoipCallerView OnBeginTalk:]”开始录制通话。

注入的dylib扮演着App可执行文件的一部分,可以读取/修改app中的数据收集敏感信息然后发送到远程服务器。

这些信息包括:

Skype, Wechat等中的语音通话记录 Skype, Whats App, Facebook messenger等中的短消息拦截 Chrome网站历史记录 电话 SMS/短信内容 精确的GPS坐标记录 联系人信息 照片

需要特别注意的是,dylib有能力完成仅从目标用户下载数据的任务。其会将IMEI发送到远程服务器进行筛选,攻击者看是否感兴趣,然后服务器再决定是否获取其敏感信息。尽管如此,如果用户在keychain中将SKIP-LICENSE设置为1,我们有方法绕过其检测。

最后,所有的数据都经过Json格式重新封装,然后发送给服务器。上图就演示了上传数据(实际值已去除),items包含了不同的数据类型,例如通讯应用的聊天记录,地理位置,通话记录等。

通过URL进行配置的方案

远程服务器和恶意行为都是通过URL进行配置的,在每一个样本案例中,我们发现一个用来增加Info.plist文件的定制URL。这个URL遵循“TIGI0000X://”格式,与表格中所列相同。

通过连接“application:openURL:sourceApplication:annotation:”函数,当打开这个URL,恶意dylib就开始解析配置数据。

结语

从HackingTeam泄漏出的工具可以看出,针对iOS设备更加先进的攻击方法已经出现。我们鼓励iOS用户保持最快速度更新固件版本,以及验证应用程序的来源。

* 参考来源fireeye,译者/鸢尾 转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-08-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 偷车其实很简单 | 你知道Android车控App有多不安全吗?

    卡巴斯基实验室的安全研究人员最近发现:黑客可以仅仅通过侵入Android车控App轻易解锁汽车,上百万汽车深陷被窃危机。 汽车控制App现在越来越流行了,这些应...

    FB客服
  • Cloak ; Dagger攻击:一种可针对所有版本Android的攻击技术(含演示视频)

    近期,来自美国佐治亚理工学院的安全研究专家发现了一种名叫“Cloak and Dagger”的新型攻击,而可怕的地方就在于,这种攻击技术可以拿下目前所有版本的A...

    FB客服
  • 2017年Google与不良应用和恶意开发者都做了哪些斗争

    写在前面的话 毫无疑问,硬件设备的灵魂就是应用程序。它们可以帮你马上叫到一台出租车,跟朋友分享自己生活中的精彩瞬间,了解全球的最新资讯,跟地球另一端的朋友一起玩...

    FB客服
  • Hybrid App开发模式

    Hybrid App(混合模式移动应用)是指介于web-app、native-app这两者之间的app,兼具“Native App良好用户交互体验的优势”和“W...

    河湾欢儿
  • iOS14新特性探索之一:App Clips轻应用

            App Clips是苹果WWDC 2020所发布的iOS 14新特性中最具焦点的一项功能。一经曝光,就引发了互联网上针对其特性的各种讨论。有人说...

    珲少
  • 决战下半场:小程序技术助力金融APP重回C位

    本文不是一篇纯技术文章,想与IT、电商、互金、网金以及负责数字化运营的部门同侪们一起探讨一下App的数字化建设。

    凡泰极客
  • 处境艰难的 App 开发者们如何自救

    这是我朋友的公司不再研发原生 App 的原因——在网页端创业简单的多。怎么会这样呢?基于浏览器的网页端生态系统已经存在了 20 多年,而 App 系统却仅存世 ...

    非著名程序员
  • 银行、券商们的下一代App该往哪里走?

    传统金融机构们的App——尤其以手机银行、手机证券为最,发展到今天,已经产生一系列的问题:从用户角度看,体验普遍不好、高度同质化;从业务运营角度看,几乎没有什么...

    凡泰极客
  • 未来APP产品开发的方向

    未来的移动App开发不仅仅是让它适应一方小小的屏幕,采用不同的编程语言,基于不同的操作系统。那它是怎样的呢?现在我想我们应该把注意力转向建立现代化的App了。 ...

    BestSDK
  • 分析了 6000 款 App,竟有这么多佳软神器没用过

    摘要:在《6000 多款 App,看我如何搞定她们并将其洗白白~》中我们详细地分享了有关Scrapy框架抓取App数据的流程,并对抓回来的数据作了进一步的清洗。...

    1480

扫码关注云+社区

领取腾讯云代金券