蒸米 · 2015/11/05 10:11

作者:[email protected],[email protected],[email protected]

0x00 FireEye报告

iOS被XcodeGhost血洗一把之后,Android又被WormHole暴揍一顿。正当大家打算歇一歇的时候,FireEye的Zhaofeng等人又发表了一篇报告叫《iBackDoor: High-Risk Code Hits iOS Apps》。报告中指出FireEye的研究员发现了疑似”后门”行为的广告库mobiSage在上千个app中,并且这些app都是在苹果官方App Store上架的应用。通过服务端的控制,这些广告库可以做到:

  1. 录音和截屏
  2. 上传GPS信息
  3. 增删改查app数据
  4. 读写app的钥匙链
  5. 发送数据到服务器
  6. 利用URL schemes打开其他app或者网页
  7. 安装企业应用

FireEye的研究员一共在App Store上发现了2,846个app包含具有“后门”特征的mobiSage广告库。并且这些广告库会不断的向服务器端发送请求,并获取执行指令的JavaScript脚本。FireEye的研究员还发现mobiSage广告库一共有17 不同的版本从5.3.3到6.4.4。然而在最新的mobiSage SDK 7.0.5版本中已经将这些”后门”特征删掉了。

0x01 iOS样本 - iBackDoor分析

看到FireEye的报告后,我们第一时间拿到了iOS上的app样本进行分析(注:在我们分析时,该样本还没有下架)。在广告库的类MSageCoreUIManagerPlugin中,我们的确发现了报告中所提到的各种控制功能。其中包括非常高危的获取录音、截屏功能以及读取修改字符串的函数。

根据反编译的代码可以看到,iBackDoor在获取到服务器命令后会启动录音功能并将录音保存为audio_[编号].wav,并且可以通过sendHttpUpload函数将文件发送到服务器上。

iBackDoor还可以截取当前屏幕的内容,反编译代码如下:

iBackDoor还可以读取keychain的数据,也就是iOS上的app用来保存密码信息的容器:

一个广告sdk,为什么需要录音,截屏和读取密码等功能呢?的确非常可疑。

除此之外,iBackDoor还可以根据服务器的指令调用任意的URL Schemes,也就是说XcodeGhost可以干的事情(打开钓鱼网页,安装企业应用等)iBackDoor也都可以干。比如如下是安装企业应用的反编译代码:

0x02 数据流量分析

通过分析反汇编代码我们发现中了iBackDoor的app会根据本地的msageJS脚本执行相应的指令。除此之外,iBackDoor还会发送post请求到entry.adsage.com去检查更新,如果有新的JS命令脚本就会到mws.adsage.com下载。

于是我们分析了一下entry.adsage.com和mws.adsage.com的DNS解析和流量数据:

根据DNS解析趋势,可以看到每天请求的数据并没有太大的浮动。但有意思的是,在对流量的分析中,除了adv-ios-*-min.zip外我们还发现了很多机器对adv-android-*-min.zip的下载请求。难道除了iOS的app,android上的app也难逃魔爪?

并且这个请求的数量还不小,在我们有限的监测流量中,光九月份就有4亿多次对adsage.com的数据发送。并且,最近半年内至少有超过50000次对更新脚本adv-ios-*-min.zip或adv-android-*-min.zip的下载请求。

0x03 Android样本 - DroidBackDoor分析

上文讲到了我们除了iOS的payload还发现了Android的payload,我们把这个payload下载下来一看,发现原来就是个动态加载的dex文件。这个dex文件包含了非常多的高危代码,我们把它称为DroidBackDoor。DroidBackDoor除了广告sdk都会做的获取手机各种信息,下载和安装任意apk外,还可以获取用户的坐标、打开任意网页、打电话、发短信等。

收集用户的imei,root信息,地理位置,wifi信息等几十种信息:

获取用户坐标的反汇编代码:

打开任意网页的反汇编代码:

打电话的反汇编代码:

发短信的反汇编代码:

我们将提取的mobisage的特征去后台数据库查询,发现Android上也有超过2000款的app使用了mobisage的sdk。

0x04 网站分析

通过相关域名网站(http://www.adsage.cn/index.html),可以知道这家公司的名字叫艾德思奇,并且有很多知名的合作伙伴和案列。我们建议所有使用了这个SDK的厂商应立刻检查自己产品中是否被插入了高危风险的代码,以免被苹果下架。

0x05 总结

虽然这次”后门”SDK同时影响了iOS和Android,但根据我们的数据分析结果发现影响力是远远不及XcodeGhost和WormHole的。所以用户不用太过担心,在受影响的app下架之前尽量不要安装不知名应用,并记得及时更新自己的app。

0x06 参考资料

  1. https://www.fireeye.com/blog/threat-research/2015/11/ibackdoor_high-risk.html

更多相关文章

  1. SpringBoot 2.0 中 HikariCP 数据库连接池原理解析
  2. 一句话锁定MySQL数据占用元凶
  3. openfire+asmack搭建的安卓即时通讯(四) 15.4.10
  4. delphi xe5 android 手机上使用sqlite
  5. Android(安卓)中使用 Proguard 混淆 Java 代码
  6. App版本更新时对SQLite数据库升级或者降级遇到的问题
  7. 懒人爱家务_Android中的Selector的用法
  8. Android源码阅读方式——教你如何找到ActivityManagerService
  9. android学习——activity实现动画切换

随机推荐

  1. android 菜单实例
  2. android机器人学习网
  3. android 第一季
  4. android解压zip包
  5. android 10 高通 图标名称双行显示
  6. Fragment
  7. Ant 编译 Android 项目为 Apk 实战, 常见
  8. 记-Android studio使用的小疑惑
  9. Increase the android VM heap size.
  10. android 自定义按钮的外边框