iBackDoor(愛後門)和DroidBackDoor(安後門):同時影響iOS和Android的”後門”SDK?

wyzsk發表於2020-08-19
原文網址 : https://zhuanlan.kanxue.com/article-12452.htm
iOSAndroid
作者: 蒸米 · 2015/11/05 10:11

作者:[email protected][email protected][email protected]

0x00 FireEye報告

iOS被XcodeGhost血洗一把之後,Android又被WormHole暴揍一頓。正當大家打算歇一歇的時候,FireEye的Zhaofeng等人又發表了一篇報告叫《iBackDoor: High-Risk Code Hits iOS Apps》。報告中指出FireEye的研究員發現了疑似”後門”行為的廣告庫mobiSage在上千個app中,並且這些app都是在蘋果官方App Store上架的應用。透過服務端的控制,這些廣告庫可以做到:

  1. 錄音和截圖
  2. 上傳GPS資訊
  3. 增刪改查app資料
  4. 讀寫app的鑰匙鏈
  5. 傳送資料到伺服器
  6. 利用URL schemes開啟其他app或者網頁
  7. 安裝企業應用

FireEye的研究員一共在App Store上發現了2,846個app包含具有“後門”特徵的mobiSage廣告庫。並且這些廣告庫會不斷的向伺服器端傳送請求,並獲取執行指令的JavaScript指令碼。FireEye的研究員還發現mobiSage廣告庫一共有17 不同的版本從5.3.3到6.4.4。然而在最新的mobiSage SDK 7.0.5版本中已經將這些”後門”特徵刪掉了。

0x01 iOS樣本 - iBackDoor分析

看到FireEye的報告後,我們第一時間拿到了iOS上的app樣本進行分析(注:在我們分析時,該樣本還沒有下架)。在廣告庫的類MSageCoreUIManagerPlugin中,我們的確發現了報告中所提到的各種控制功能。其中包括非常高危的獲取錄音、截圖功能以及讀取修改字串的函式。

enter image description here

根據反編譯的程式碼可以看到,iBackDoor在獲取到伺服器命令後會啟動錄音功能並將錄音儲存為audio_[編號].wav,並且可以透過sendHttpUpload函式將檔案傳送到伺服器上。

enter image description here

enter image description here

iBackDoor還可以擷取當前螢幕的內容,反編譯程式碼如下:

enter image description here

iBackDoor還可以讀取keychain的資料,也就是iOS上的app用來儲存密碼資訊的容器:

enter image description here

一個廣告sdk,為什麼需要錄音,截圖和讀取密碼等功能呢?的確非常可疑。

enter image description here

除此之外,iBackDoor還可以根據伺服器的指令呼叫任意的URL Schemes,也就是說XcodeGhost可以乾的事情(開啟釣魚網頁,安裝企業應用等)iBackDoor也都可以幹。比如如下是安裝企業應用的反編譯程式碼:

enter image description here

0x02 資料流量分析

透過分析反彙編程式碼我們發現中了iBackDoor的app會根據本地的msageJS指令碼執行相應的指令。除此之外,iBackDoor還會傳送post請求到entry.adsage.com去檢查更新,如果有新的JS命令指令碼就會到mws.adsage.com下載。

於是我們分析了一下entry.adsage.com和mws.adsage.com的DNS解析和流量資料:

enter image description here

根據DNS解析趨勢,可以看到每天請求的資料並沒有太大的浮動。但有意思的是,在對流量的分析中,除了adv-ios-*-min.zip外我們還發現了很多機器對adv-android-*-min.zip的下載請求。難道除了iOS的app,android上的app也難逃魔爪?

enter image description here

並且這個請求的數量還不小,在我們有限的監測流量中,光九月份就有4億多次對adsage.com的資料傳送。並且,最近半年內至少有超過50000次對更新指令碼adv-ios-*-min.zip或adv-android-*-min.zip的下載請求。

0x03 Android樣本 - DroidBackDoor分析

上文講到了我們除了iOS的payload還發現了Android的payload,我們把這個payload下載下來一看,發現原來就是個動態載入的dex檔案。這個dex檔案包含了非常多的高危程式碼,我們把它稱為DroidBackDoor。DroidBackDoor除了廣告sdk都會做的獲取手機各種資訊,下載和安裝任意apk外,還可以獲取使用者的座標、開啟任意網頁、打電話、發簡訊等。

收集使用者的imei,root資訊,地理位置,wifi資訊等幾十種資訊:

in1

in2

in3

in4

in5

in6

in7

獲取使用者座標的反彙編程式碼:

enter image description here

開啟任意網頁的反彙編程式碼:

enter image description here

打電話的反彙編程式碼:

enter image description here

發簡訊的反彙編程式碼:

enter image description here

我們將提取的mobisage的特徵去後臺資料庫查詢,發現Android上也有超過2000款的app使用了mobisage的sdk。

0x04 網站分析

透過相關域名網站(http://www.adsage.cn/index.html),可以知道這家公司的名字叫艾德思奇,並且有很多知名的合作伙伴和案列。我們建議所有使用了這個SDK的廠商應立刻檢查自己產品中是否被插入了高危風險的程式碼,以免被蘋果下架。

0x05 總結

雖然這次”後門”SDK同時影響了iOS和Android,但根據我們的資料分析結果發現影響力是遠遠不及XcodeGhost和WormHole的。所以使用者不用太過擔心,在受影響的app下架之前儘量不要安裝不知名應用,並記得及時更新自己的app。

0x06 參考資料

  1. https://www.fireeye.com/blog/threat-research/2015/11/ibackdoor_high-risk.html
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章