国产“骄傲”:最先进的国产IOS木马Xsser现身分析

近来,香港的消息可以说是比较火的,也从来都是哪里火黑客同志们往哪里涌,前赴后继。这一点看我们的Anonymous(匿名者)同志们就知道了。前几天,Lacoon移动安全公司的研究人员报告了一个感染iOS越狱手机的间谍程序Xsser mRAT,传闻中标榜此木马为“国产最先进”。

立场这么坚定?下面我们来看看这个马是什么来头。

Xsser与此前发现的Android间谍程序共享了相同的指令控制服务器域名。之前发现的Android间谍程序伪装成协调占中示威者的应用,通过Whatsapp传播。Xsser mRAT是至今发现的第一个也是最先进的中国产(传闻,不保证真实性) iOS木马。

感染条件

但是感染Xsser是有前提条件的,首先。。。(这个不用我说了吧)

其次,你得越狱,并且安装了Cydia(貌似没有几个越狱之后不装这个的吧)

感染方式

感染的源头来自于一封匿名的WhatApp消息:

但是只要点了这个链接,你的爪机便被这款木马控制了。

点击这个链接之后,首先安卓爪机便会出现一个安装请求,而我们的IOS用户则会被要求添加一个Cydia源,然后相关的包就会被很无情的安装了。包本身是一个deb安装包,并且为了能够安装之后顺利执行,程序还安装了一IOS‘launchd’服务来保证程序可以顺利安装即运行。

感染行为

听起来很DIAO的样子,接下来,小编就带大家揭开其神秘面纱,看看这款传闻中“MADE IN CHINA”的木马背后的小故事。

首先,我们来看一下这款马感染之后会做什么

看到上面的信息有没有菊花一紧的赶脚?

不仅如此,Lacoon经过对app的监测,发现所有的连接都是指向一个VPS服务器的,费了好大功夫,总算找到了他们的CnC服务器

感染过程分析

Lacoon公司做了一个流程图,我们可以大体看下

1、首先,添加Cydia源添加之后,会安装一个deb包,包中包含以下文件:

2、然后,包安装完成之后会执行以下脚本命令:

3、这个脚本结束之后会运行另一个脚本文件:

脚本安装了一个本地服务,同时进行了加载。服务信息如下:

4、最后当系统运行的时候还会自动监测程序是否是最新版本,如果不是则进行自动更新。

这里Lacoon公司还给出了一个监测到的更新的HTTP请求:

感染行为分析

感染之后,app会进行以下行为:

1、上传本地文件

下面是请求的部分代码文件截图:

2、获取GPS信息

获取方式是采用CoreTelephony的getCellInfo函数达成的,下面是部分代码截图:

3、获取微信/QQ消息

通过TargetUploadFile命名找到DB/MM.sqlite文件并上传到服务器上,相关代码如下:

4、获取密钥

然后将密钥信息(密码、认证标志等)打包成一个xml文件并使用同样的方式上传。

范本xml如下图所示:

5、暂未查明监测到的行为

当然,没有监测到并不代表不会执行相关指令,既然app已经强大到如此的程度,这些一般标配行为肯定是存在的,只是等待相关指令等待触发罢了。