iBackDoor(愛後門)和DroidBackDoor(安後門):同時影響iOS和Android的”後門”SDK?
作者:[email protected],[email protected],[email protected]
0x00 FireEye報告
iOS被XcodeGhost血洗一把之後,Android又被WormHole暴揍一頓。正當大家打算歇一歇的時候,FireEye的Zhaofeng等人又發表了一篇報告叫《iBackDoor: High-Risk Code Hits iOS Apps》。報告中指出FireEye的研究員發現了疑似”後門”行為的廣告庫mobiSage在上千個app中,並且這些app都是在蘋果官方App Store上架的應用。透過服務端的控制,這些廣告庫可以做到:
- 錄音和截圖
- 上傳GPS資訊
- 增刪改查app資料
- 讀寫app的鑰匙鏈
- 傳送資料到伺服器
- 利用URL schemes開啟其他app或者網頁
- 安裝企業應用
FireEye的研究員一共在App Store上發現了2,846個app包含具有“後門”特徵的mobiSage廣告庫。並且這些廣告庫會不斷的向伺服器端傳送請求,並獲取執行指令的JavaScript指令碼。FireEye的研究員還發現mobiSage廣告庫一共有17 不同的版本從5.3.3到6.4.4。然而在最新的mobiSage SDK 7.0.5版本中已經將這些”後門”特徵刪掉了。
0x01 iOS樣本 - iBackDoor分析
看到FireEye的報告後,我們第一時間拿到了iOS上的app樣本進行分析(注:在我們分析時,該樣本還沒有下架)。在廣告庫的類MSageCoreUIManagerPlugin中,我們的確發現了報告中所提到的各種控制功能。其中包括非常高危的獲取錄音、截圖功能以及讀取修改字串的函式。
根據反編譯的程式碼可以看到,iBackDoor在獲取到伺服器命令後會啟動錄音功能並將錄音儲存為audio_[編號].wav,並且可以透過sendHttpUpload函式將檔案傳送到伺服器上。
iBackDoor還可以擷取當前螢幕的內容,反編譯程式碼如下:
iBackDoor還可以讀取keychain的資料,也就是iOS上的app用來儲存密碼資訊的容器:
一個廣告sdk,為什麼需要錄音,截圖和讀取密碼等功能呢?的確非常可疑。
除此之外,iBackDoor還可以根據伺服器的指令呼叫任意的URL Schemes,也就是說XcodeGhost可以乾的事情(開啟釣魚網頁,安裝企業應用等)iBackDoor也都可以幹。比如如下是安裝企業應用的反編譯程式碼:
0x02 資料流量分析
透過分析反彙編程式碼我們發現中了iBackDoor的app會根據本地的msageJS指令碼執行相應的指令。除此之外,iBackDoor還會傳送post請求到entry.adsage.com去檢查更新,如果有新的JS命令指令碼就會到mws.adsage.com下載。
於是我們分析了一下entry.adsage.com和mws.adsage.com的DNS解析和流量資料:
根據DNS解析趨勢,可以看到每天請求的資料並沒有太大的浮動。但有意思的是,在對流量的分析中,除了adv-ios-*-min.zip外我們還發現了很多機器對adv-android-*-min.zip的下載請求。難道除了iOS的app,android上的app也難逃魔爪?
並且這個請求的數量還不小,在我們有限的監測流量中,光九月份就有4億多次對adsage.com的資料傳送。並且,最近半年內至少有超過50000次對更新指令碼adv-ios-*-min.zip或adv-android-*-min.zip的下載請求。
0x03 Android樣本 - DroidBackDoor分析
上文講到了我們除了iOS的payload還發現了Android的payload,我們把這個payload下載下來一看,發現原來就是個動態載入的dex檔案。這個dex檔案包含了非常多的高危程式碼,我們把它稱為DroidBackDoor。DroidBackDoor除了廣告sdk都會做的獲取手機各種資訊,下載和安裝任意apk外,還可以獲取使用者的座標、開啟任意網頁、打電話、發簡訊等。
收集使用者的imei,root資訊,地理位置,wifi資訊等幾十種資訊:
獲取使用者座標的反彙編程式碼:
開啟任意網頁的反彙編程式碼:
打電話的反彙編程式碼:
發簡訊的反彙編程式碼:
我們將提取的mobisage的特徵去後臺資料庫查詢,發現Android上也有超過2000款的app使用了mobisage的sdk。
0x04 網站分析
透過相關域名網站(http://www.adsage.cn/index.html),可以知道這家公司的名字叫艾德思奇,並且有很多知名的合作伙伴和案列。我們建議所有使用了這個SDK的廠商應立刻檢查自己產品中是否被插入了高危風險的程式碼,以免被蘋果下架。
0x05 總結
雖然這次”後門”SDK同時影響了iOS和Android,但根據我們的資料分析結果發現影響力是遠遠不及XcodeGhost和WormHole的。所以使用者不用太過擔心,在受影響的app下架之前儘量不要安裝不知名應用,並記得及時更新自己的app。
0x06 參考資料
- https://www.fireeye.com/blog/threat-research/2015/11/ibackdoor_high-risk.html
相關文章
- SSH軟連結後門利用和原理
- 後門工具dbd
- Linux下的後門和日誌工具(轉)Linux
- PHP後門新玩法:一款猥瑣的PHP後門分析PHP
- phpStudy 後門如何檢測和修復PHP
- phpstudy後門POC分析和EXP開發PHP
- NodeJs後門程式NodeJS
- PhpStudy 後門分析PHP
- Web後門工具WeBaCooWeb
- 放心使用!龍蜥全系產品均不受 XZ 後門影響
- UNIX系統後門的安放和日誌的擦除(轉)
- JavaScript後門深層分析JavaScript
- 如何反黑客後門程式黑客
- SSH後門分析總結
- 程式注入後門工具Cymothoa
- Windows粘滯鍵後門Windows
- AI模型常見的後門攻擊及後門檢測演算法調研AI模型演算法
- 貼一段網站被"後門"後的程式碼網站
- WordPress暗藏兩大惡意外掛,可安裝後門和挖掘加密貨幣加密
- Redis後門植入分析報告Redis
- Linux PAM&&PAM後門Linux
- MySQL入門--後設資料MySql
- laravel入門教程讀後感Laravel
- 後門構建工具Backdoor Factory
- 系統潛入後門分析
- [分享]後門清除完全篇(轉)
- 蘋果間接承認iOS系統中留有後門蘋果iOS
- 蘋果iOS有後門 能獲取使用者資訊蘋果iOS
- Web前端和後端的異同Web前端後端
- 一個不易發現的PHP後門 --PHP
- Borland C++ Builder的API後門 (轉)C++UIAPI
- 淺談iOS和Android後臺實時訊息推送的原理和區別iOSAndroid
- 高危漏洞預警:WordPressRESTAPI被利用安裝後門RESTAPI
- 快速入門 React hooks + 後端整合ReactHook後端
- 前後端分離Ajax入門後端
- 前端和後端開發的異同前端後端
- iOS中Swift從開始入門到最後的放棄(八),iOSSwift
- FYSBIS分析報告:SOFACY的Linux後門Linux