趨勢科技先前曾在一篇部落格當中探討過 iOS 平台的海馬 (海马)第三方應用程式商店。這商店中可發現許多被重新包裝並加入廣告模組的正版應用程式。
此應用程式商店之所以熱門,可說是拜「海馬蘋果助手」程式之賜。這是一個搭配其商店,讓使用者很容易安裝及管理應用程式的一個小程式,其角色類似大多數 iOS 使用者所用的 iTunes 程式。
只是很不幸地,這個程式本身就帶有惡意程式碼,趨勢科技將它命名為: TSPY_LANDMIN.A。
先安裝正牌 iTunes 程式
這個小助手需從海馬官方網站上下載,它會提醒使用者先直接從海馬的網站下載某個特定版本的 iTunes (12.3.2.25) 程式。此程式與 Apple 官方提供的版本一致,只是並非最新版本。
圖 1:iTunes 下載提示訊息。
圖 2:下載來源為海馬的伺服器。
這個小助手程式其實不需要 iTunes,此步驟只是要安裝該 iTunes 版本隨附的 iPhone 驅動程式而已。
接著套用修補套件
安裝好 iTunes 之後,程式接下來會從海馬的伺服器下載一個修補套件:
圖 3:下載修補套件。
圖 4:修補套件當中的內容。
套件內容會解壓縮到一個名為「Haima」的資料夾。
圖 5:套件解壓縮後「Haima」資料夾的內容。
這個修補套件中的檔案,其實是來自 Apple。海馬的小助手程式是特別針對 iTunes 12.3.2.25 版當中的通訊協定而設計,因此需要該版本的 DLL 函式庫。即使 iTunes 後來已有更新版本,但舊版還是能夠搭配 iOS 裝置來安裝及同步資料。
圖 6:DLL 版本。
如何安裝應用程式
海馬提供了兩種安裝應用程式的方式。由於 iOS 上安裝的所有應用程式都必須經過簽署,因此海馬透過兩種方法來安裝程式:第一種是透過企業授權憑證,第二種是使用 Apple App Store 提供的應用程式。下圖顯示小助手程式的畫面,其功能其實就像一般的應用程式商店:
圖 7:海馬小助手程式。
應用程式商店該有的功能小助手都有:分類、必備、推薦應用程式等等。某些應用程式與 iOS App Store 相同,如上圖當中用紅色框線標註部分。
小助手可以直接安裝經過企業授權憑證簽署的應用程式,此外「也可以」 藉由 App Store 安裝來自 Apple 的應用程式。我們後面會討論使用企業授權憑證的方式,但第二種方式是如何達成的呢?其作法是連回海馬的伺服器來「領取」一個 Apple ID:
圖 8:領取 Apple ID。
上圖的畫面告訴使用者海馬小助手需要一個 Apple ID,請按一下確認按鈕來取得 Apple ID 以享受順暢的體驗。
圖 9:正在領取 Apple ID。
上圖的畫面表示正在進行驗證流程,包括檢測安全環境。
圖 10:Apple ID 領取成功。
當成功領取到 Apple ID 後就會出現上圖的畫面。使用者甚至不知道這個 Apple ID 的帳號密碼,但使用者卻能夠在利用這個 Apple ID 在自己的 iPhone 上安裝任何應用程式。
圖 11:使用 Apple ID 來安裝應用程式。
若使用者曾經從官方的 App Store 安裝過某個應用程式,小助手會要求使用者先移除該版本。小助手會更新裝置上的企業授權憑證,然後再 (重新) 安裝應用程式到手機上。
圖 12:請使用者移除應用程式。
圖 13:透過企業授權憑證進行更新。
利用動態簽署的方式來規避 Apple 的撤銷機制
我們前面提到,小助手程式也可以透過企業授權憑證來安裝應用程式。Apple 深知企業內部署機制與授權憑證可能如何遭到濫用,因此,他們不時都會查核並撤銷這類遭到濫用的憑證。海馬每隔幾天就會更換一次他們所使用的企業授權憑證。此外,也會利用動態簽署應用程式的方式來避免企業授權憑證遭到撤銷。
在小助手程式將企業授權憑證應用程式安裝到手機之前,它會使用一個「新的」(有效的) 企業授權憑證來簽署該程式。 如此可以避免 Apple 撤銷其原始憑證。
圖 14:原始的企業授權憑證應用程式和新的配置設定檔。
圖 15:原始和新的企業授權憑證 Mach-O 檔案。
圖 16:從原始憑證到新憑證。
洩漏使用者的 Apple ID
其實還有第三種安裝應用程式的方法。若您不想要使用海馬提供的 Apple ID,您也可以使用自己的 Apple ID,只是您必須提供 Apple ID 的帳號密碼。
圖 17:詢問使用者 Apple ID 的畫面。
只不過這個點子不太好。怎麼說?因為,這等於讓小助手拿到了您的帳號密碼。
圖 18:洩漏 Apple ID 的程式碼。
同步至 PC 上的照片
在預設情況下,iPhone 上的照片是不會同步至 PC 的。但小助手程式會自動將使用者手機上的照片同步到電腦上:
圖 19:同步到電腦上的照片。
小助手程式中的惡意程式碼
最後,小助手程式還暗藏了惡意程式碼,它含有各種可能竊取資訊的函式。不過,這些不是功能還沒寫好,就是還沒呼叫到。
圖 20:惡意程式碼。
總結
「海馬蘋果助手」是這個非官方應用程式商店所提供的一個便利功能,它可代為管理企業授權憑證與 Apple App Store 登入資訊,讓使用者用起來更順暢。
但這卻會引來嚴重的資安風險,光是讓它取得使用者的 Apple ID 帳號密碼這件事本身就是一個嚴重危險。此外,其程式碼內顯然暗藏著惡意的函式功能,這一點也令人擔心。我們建議最好不要使用非官方應用程式商店,因為這類商店一般都有安全疑慮,而上述案例更印證了我們為何如此建議。
以下是我們所偵測到的 TSPY_LANDMIN.A 相關檔案:
SHA1 雜湊碼 | 檔案名稱 |
1fd7073ffd23e6b57be7418be24b78cd3694fe2f | IPhoneHelperDll.dll |
8d13df388e1dae9d0100967190d4d4b32bd25b8f | 00_4.3.7.exe |
ec58ec2ecc019d5c927acfa7520550c35d1b480c | Haima.exe |
原文出處:Helper for Haima iOS App Store Adds More Malicious Behavior
PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。