海馬iOS應用商店助手各種惡意行為的研究

海馬iOS應用商店助手各種惡意行為的研究

譯者：rodster(看雪ID：leixyou)、御宅的雞蛋℡

原文鏈接：http://t.cn/Rcsj8sN原文作者：趨勢科技

微信公眾號：看雪iOS安全小組 我們的微博：http://weibo.com/pediyiosteam

我們的知乎：http://zhihu.com/people/pediyiosteam

加入我們：看雪iOS安全小組成員募集中：iOS安全小組成員招募中

[看雪iOS安全小組]置頂嚮導集合貼： ［新人請看］[看雪iOS安全小組]置頂嚮導集合貼

完整PDF版本下載：003.海馬iOS應用商店助手各種惡意行為的研究.pdf

前言

earlierblog的一篇文章中,我們談到了iOS海馬應用商店。在這裡我們發現官方應用程序重新重新打包並且添加了廣告模塊增加所有者收入。

因為「海馬iOS助手」，所以商店很受歡迎的一個原因是它的相對簡單的使用性。這個程序是為了補充其他的商店,使它更容易安裝應用程序和管理用戶的設備。這與大多數iOS用戶使用itunes一樣。

不幸的是,這個特殊的輔助應用程序自己帶來的惡意代碼。我們發現這個asTSPY_LANDMIN.A。

首先:合法iTunes版本

這個助手從海馬提供下載的網站下載。它提示用戶直接從海馬下載一個特定版本的iTunes(12.3.2.25)。這個文件是相同的官方versionfrom蘋果,雖然不再是iTunes的最新版本。

Figure 1. iTunes download prompt

Figure 2. Download from Haima server

一旦iTunes被安裝，接下來就會從海馬伺服器下載一個補丁包。

Figure 3. Download of patch package

Figure 4. Patch package contents

包中文件被解壓到海馬目錄。

Figure 5. Patch package in Haima directory

補丁中的文件實際上來源於Apple。海馬分析基於12.3.2.25版本的iTunes協議，所以海馬助手依賴於特定版本的DLL。即使iTunes之後更新了，海馬助手仍然可以安裝app或者同步備份和從ios設備恢復。

Figure 6. DLL version

如何安裝app

海馬提供了兩種方式安裝app。在IOS，所有的app被安裝都需要被簽名，所以海馬使用兩種方式：一種是使用企業提供證書,而另一種通過 App Store由蘋果提供app。下圖顯示了助手的應用,功能或多或少但也是一個app商店。

Figure 7. Haima helper app

海馬助手app有一個應用商店擁有的所有特徵——類別,必備列表,建議應用程序,等等。這些應用程序和原來iOS應用程序商店都是一樣的,那些已經被我們在上面的截圖標記的應用也是。

助手可以用企業證書直接安裝應用程序，並且它也能從apple的app store安裝應用。我們將稍後在這篇文章中討論使用企業證書。之後它是怎麼做的?它連接回海馬伺服器和「獲得」一個蘋果ID:

上面的屏幕顯示了海馬的用戶需要一個蘋果ID,並單擊按鈕,獲得一個更好的體驗。

上面的窗口狀態正在進行驗證過程,包括檢查的安全環境。

上面的窗口,當一個蘋果ID已經成功獲取到了。用戶甚至不知道這個蘋果ID賬戶的密碼,但助手應用程序可以使用這個蘋果ID安裝任何iOS應用程序到用戶的iPhone。

Figure 11. Installation of app with Apple ID

如果用戶已經通過app Store安裝了一個應用程序,助手會首先要求用戶刪除這個版本的應用。設備上的助手將更新企業證書,然後(重新)安裝手機上的應用程序。

Figure 12. Request to uninstall app

Figure 13. Update for enterprise certificate

動態App簽名繞過蘋果撤銷

如之前所述,助手app還可以使用企業證書安裝應用到設備。蘋果非常清楚企業如何濫用企業的證書,他們不斷地撤銷任何此類已被濫用的證書。海馬每隔幾天替換了他們使用的企業證書。除此之外,他們還使用動態應用的簽字來減少暴露企業證書。

在助手app安裝企業證書應用到手機之前,用一個新的企業證書(有效)簽字。這是為了防止蘋果撤銷原企業證書。

Figure 14. Downloaded Original Enterprise Certificate App and New Provisioning Profile

Figure 15. Original and New Enterprise Certificate Mach-O Files

Figure 16. From Original Certificate to New

用戶Apple ID泄露

還有第三種方法來安裝應用程序。如果你不想使用Haima-provided蘋果ID,您可以使用你的——你只需要輸入自己的蘋果ID和密碼。

Figure 17. Login screen asking for Apple ID

不幸的是,這不是一個好主意。為什麼?因為助手app竊取用戶的用戶名和密碼。

Figure 18. Code leaking Apple ID

照片同步到PC

默認情況下,這些照片在iPhone上不同步到電腦。然而,助手app自動同步用戶的照片到用戶的計算機：

Figure 19. Synced pictures

助手App中的惡意代碼

因為各種information-stealing helper函數調用，海馬助手app包含惡意代碼。然而,這些既非功能性需要或也非必須被調用。

Figure 20. Malicious code

總結

海馬助手app是讓第三方為它的用戶存儲更有用的一個關鍵部分。通過管理企業證書和蘋果應用商店登錄,讓用戶更加無縫體驗。

然而,它也引入了嚴重的安全風險。明顯的竊取用戶的蘋果ID憑證本身是一個嚴重的風險。明顯的惡意功能代碼本身也是令人擔憂的。我們不建議使用第三方應用商店一般構成安全風險,這種情況下顯示了為什麼我們建議了這篇文章。

我們發現以下文件並命名為TSPY_LANDMIN.A:

SHA1哈希 文件名稱

1 fd7073ffd23e6b57be7418be24b78cd3694fe2f IPhoneHelperDll.dll

8 d13df388e1dae9d0100967190d4d4b32bd25b8f 00 _4.3.7.exe

ec58ec2ecc019d5c927acfa7520550c35d1b480c Haima.exe

推薦閱讀：