趨勢科技的安全專家在調查一起網絡間諜活動時，發現了一款特別的iOS設備間諜程序。它可以竊取未越獄iOS用戶的照片、短信、聯系人列表和其他數據。但值得注意的是，這種惡意軟件仍然無法在未經用戶允許的情況下安裝。

[[127495]]

間諜活動背景

Operation Pawn Storm是一起有關經濟、政治的網絡間諜活動，主要目標是各國的軍事、政府和媒體。這一活動從2007年就開始，一直活躍至今。

安全研究人員發現，該間諜活動主要使用了兩款惡意程序：一個叫做XAgent，另一個叫做MadCap(與一款iOS游戲重名)。這些惡意間諜軟件主要用于竊取iOS用戶的私人數據、音頻、截圖等，然后將竊取到的數據傳輸到遠程C&C(命令與控制)服務器上。

全面剖析XAgent

XAgent是一個功能強大的間諜程序。成功安裝在iOS 7上之后，就會隱藏了圖標，然后默默的在后臺運行。當我們試圖阻止其進程時，它會立即重新啟動。但奇怪的是，XAgent在iOS 8 上卻不會隱藏圖標，也不會自動的重新啟動。難道是XAgent的開發時間早于iOS 8?

數據竊取能力

攻擊者開發該程序的目的是搜集iOS移動設備上的所有信息，包括：

1. 文本信息

2. 聯系人列表

3. 圖片

4. 地理位置數據

5. 音頻數據

6. 安裝的應用程序列表

7. 進程列表

8. Wi-Fi狀態

圖1

C&C通信

除了搜集信息外，它還會通過HTTP向外發送信息。

格式化的日志信息

該惡意程序的日志以HTML形式書寫，并且還有顏色標識。錯誤的信息會顯示紅色，正確的信息會顯示綠色。

圖2

設計良好的代碼結構

代碼結構也是經過精心設計的，黑客們小心翼翼的維護著，并不斷的更新。如下圖：

圖3

XAgent經常使用watch, search, find, results, open, close命令。

圖4

隨機生成URI

XAgent會根據C&C服務器模板隨機生成URI(統一資源標識符)。

基本的URI如圖4，程序會從圖5所示的列表中選擇參數拼接到基本URI中。

圖5

下面是實現結果：

圖6

圖7

令牌(token)格式與編碼

XAgent間諜程序會使用特定的令牌識別哪一個模塊正在進行通信。該令牌使用Base64編碼數據，但是要隨意添加一個5字節的前綴，這樣才看著像是一個有效的Base64數據。詳見下圖中第一行代碼的“ai=”部分。

圖8

通過逆向工程的話，我們還會發現XAgent的一些其他的通信功能。

圖10

FTP通信

該應用程序還可通過FTP協議上傳文件。

圖11

剖析MadCap

MadCap和XAgent很相似，但是MadCap只能安裝在越獄后的蘋果設備上，對非越獄設備不起任何作用。

圖12

感染方式

目前為止，我們可以確定的iOS設備無須越獄也會感染惡意程序XAgent。

我們已經發現了一個真實案例：用戶設備上會出現一個“點擊此處安裝應用程序”的誘惑鏈接，地址為：https://www.{BLOCKED}/adhoc/XAgent.plist。受害者只需簡單的點擊圖片中的鏈接就中招了，

惡意程序程序通過蘋果的“特別通道”傳播——該通道原本是便于企業和開發者部署應用而設置的，它允許軟件安裝繞過App Store。

圖13

安全建議

即使你使用的是未越獄的iPhone或iPad，現在，你也要多留個心眼了——不要點擊任何可疑鏈接。