當趨勢科技持續地研究棋兵風暴行動(Operation Pawn Storm)時,我們發現一枚有趣的毒棋兵 – 一個特別設計給iOS設備的間諜軟體。針對Apple使用者的間諜軟體本身就很值得注意,再加上這個間諜軟體跟APT目標攻擊有關。
棋兵風暴行動(Operation Pawn Storm)的背景資訊
棋兵風暴行動(Operation Pawn Storm)是個活躍的經濟和政治間諜行動,針對了各種機構,像是軍事、政府、國防產業及媒體。
棋兵風暴行動(Operation Pawn Storm)背後的惡意份子往往會先出動許多棋兵以期能夠接近自己實際想要的目標。當他們終於成功感染一個主要目標後,他們可能會決定更進一步:進階間諜惡意軟體。
iOS惡意軟體也出現在這些進階惡意軟體中。我們相信iOS惡意軟體被安裝在已被駭的系統上,這跟我們在微軟Windows系統上所發現的SEDNIT惡意軟體很相似。
趨勢科技在棋兵風暴行動(Operation Pawn Storm)發現兩個惡意iOS應用程式。一個稱為 XAgent(偵測為IOS_XAGENT.A),另一個則使用合法 iOS 遊戲軟體的名稱 – MadCap(偵測為IOS_XAGENT.B)。經過分析,我們的結論是這兩者都是跟SEDNIT有關的應用程式。
SEDNIT相關間諜軟體的目的顯然的是要竊取個人資料,錄音,截圖,並將它們傳送到遠端的命令和控制(C&C)伺服器。在本文發表時,此iOS惡意軟體所連絡的C&C伺服器仍然存在。
XAgent分析
XAgent應用程式是全功能的惡意軟體。安裝在 iOS7 後,應用程式的圖示會被隱藏,並且會立刻在背景執行。當我們試圖殺死程序來終止它時,它幾乎會馬上重新啟動。
安裝惡意軟體到iOS 8的設備上則會出現不同的結果。圖示不會被隱藏,並且它也不能自動重新啟動。這顯示惡意軟體是在2014年9月推出iOS 8前所設計。
資料竊取能力
該應用程式目的在收集iOS設備上各種類型的資料。它能夠執行以下動作:
- 收集簡訊
- 取得連絡人列表
- 取得圖片
- 收集地理位置資料
- 開始錄音
- 取得已安裝應用程式列表
- 取得程序列表
- 取得無線網路狀態
