Skip to main content

iOS 新間諜軟體,偷照片,窺簡訊,秘密錄音….!

趨勢科技持續地研究棋兵風暴行動(Operation Pawn Storm)時,我們發現一枚有趣的毒棋兵 – 一個特別設計給iOS設備的間諜軟體。針對Apple使用者的間諜軟體本身就很值得注意,再加上這個間諜軟體跟APT目標攻擊有關。

apple3

棋兵風暴行動(Operation Pawn Storm)的背景資訊

棋兵風暴行動(Operation Pawn Storm)是個活躍的經濟和政治間諜行動,針對了各種機構,像是軍事、政府、國防產業及媒體。

棋兵風暴行動(Operation Pawn Storm)背後的惡意份子往往會先出動許多棋兵以期能夠接近自己實際想要的目標。當他們終於成功感染一個主要目標後,他們可能會決定更進一步:進階間諜惡意軟體。

iOS惡意軟體也出現在這些進階惡意軟體中。我們相信iOS惡意軟體被安裝在已被駭的系統上,這跟我們在微軟Windows系統上所發現的SEDNIT惡意軟體很相似。

趨勢科技在棋兵風暴行動(Operation Pawn Storm)發現兩個惡意iOS應用程式。一個稱為 XAgent(偵測為IOS_XAGENT.A),另一個則使用合法 iOS 遊戲軟體的名稱 – MadCap(偵測為IOS_XAGENT.B)。經過分析,我們的結論是這兩者都是跟SEDNIT有關的應用程式。

SEDNIT相關間諜軟體的目的顯然的是要竊取個人資料,錄音,截圖,並將它們傳送到遠端的命令和控制(C&C)伺服器。在本文發表時,此iOS惡意軟體所連絡的C&C伺服器仍然存在。

XAgent分析

XAgent應用程式是全功能的惡意軟體。安裝在 iOS7 後,應用程式的圖示會被隱藏,並且會立刻在背景執行。當我們試圖殺死程序來終止它時,它幾乎會馬上重新啟動。

安裝惡意軟體到iOS 8的設備上則會出現不同的結果。圖示不會被隱藏,並且它也不能自動重新啟動。這顯示惡意軟體是在2014年9月推出iOS 8前所設計。

資料竊取能力

該應用程式目的在收集iOS設備上各種類型的資料。它能夠執行以下動作:

  • 收集簡訊
  • 取得連絡人列表
  • 取得圖片
  • 收集地理位置資料
  • 開始錄音
  • 取得已安裝應用程式列表
  • 取得程序列表
  • 取得無線網路狀態

圖1、XAgent程式碼結構

 

C&C通訊

除了從iOS設備上收集資料外,應用程式還會透過HTTP將資料傳送出去。它使用POST Request來發送訊息,用GET Request來接收指令。

 

格式化的日誌訊息

惡意軟體日誌訊息以HTML和彩色碼編寫,使其更容易讓操作者閱讀。錯誤信息往往是紅色,而有些則用綠色,如下圖所示。

圖2、彩色編碼的HTML日誌訊息

 

設計精良的程式碼結構

我們可以看到該惡意軟體的程式碼結構非常組織化。這個惡意軟體看起來有在精心維護和持續更新。

圖3、XAgent程式碼結構

 

該應用程式使用指令watch、search、find、results、open和close。

 

圖4、基準URI列表

 

隨機產生的URI

 

C&C HTTP Request的完整統一資源標識符(URI)是隨機產生的,根據一個與C&C伺服器溝通好的範本。基準URI可以在圖4看到,從下圖列表所選出的參數將會被加到基準URI。

圖5、URI所用的參數列表

 

以下是我們經由逆向工程所得到的結果:

 

 

圖6和7、URI生成程式碼

 

Token格式和編碼

惡意軟體使用令牌(Token)來確認哪些模組在進行通訊。令牌(Token)是用Base64編碼的資料,但加入5個字元的隨機前綴,讓它看起來像是正常的Base64資料。看看下圖第一行「ai=」的部分。

 

 

圖8、客戶端(XAgent)請求

 

逆向工程還顯示出額外的通訊功能。

圖9、HTTP通訊功能

 

圖10、C2伺服器

 

FTP通訊

該應用程式也可以透過FTP協定來上傳檔案。

 

圖11、FTP通訊功能

 

「MadCap」分析

「MadCap」是類似於XAgent的惡意軟體,但前者專注在錄音。「MadCap」只能安裝在已越獄的設備上。

圖12、MadCap的程式碼結構

 

可能的感染方式

安裝這些惡意軟體的確切方法仍然未知。但我們知道iOS設備不需要越獄過。我們已經看到了一個實際案例,一個XAgent相關誘餌訊息是「點擊此處以安裝應用程式」。該應用程式利用了Apple的ad hoc provisioning機制,這是Apple提供給iOS應用程式開發者的標準的派送方法。通過ad hoc provisioning機制,只要簡單地點擊連結就可以安裝惡意軟體,就如下圖所示。該連結會連到https://www.{封鎖}/adhoc/XAgent.plist,可以無線安裝應用程式的服務。

 

圖13、用來下載XAgent的網站

可能有其他感染方法用來安裝此惡意軟體。一種可能感染iPhone的情境是透過USB連接線將其連到一台被駭或中毒的Windows筆記型電腦。

想了解更多關於此攻擊活動的資訊,可以參考我們的報告 – 棋兵風暴行動(Operation Pawn Storm)利用誘餌來閃避偵測」。

相關檔案雜湊值:

  • 05298a48e4ca6d9778b32259c8ae74527be33815
  • 176e92e7cfc0e57be83e901c36ba17b255ba0b1b
  • 30e4decd68808cb607c2aba4aa69fb5fdb598c64

 

@原文出處:Pawn Storm Update: iOS Espionage App Found作者:Lambert Sun、Brooks Hong(行動威脅分析師),Feike Hacquebord(資深威脅研究員)