微信双开是定时炸弹?关于非越狱iOS上微信分身高危插件ImgNaix的分析

  • 时间:
  • 浏览:1
  • 来源:uu快3官方网站_uu快3苹果版_走势

这里我们我们 进行DNS劫持并修改了推送的内容,同去我们我们 把URL替加带了那我企业应用的下载plist:

还前会 看到我们我们 在启动”倍推微信分身”的前一天弹出了更新对话框,还无法取消:

【iOS冰与火之歌番外篇 -App Hook答疑以及iOS 9砸壳】

微信双开是定时炸弹?关于非越狱iOS上微信分身高危插件ImgNaix的分析

http://drops.wooyun.org/papers/13824

通过网络抓包分析,我们我们 还前会 看到”倍推微信分身”会发送许多服务收费的数据到手机上:

OpenURL这人 hook就很有意思了,这人 函数并都在是用来出理 调用微信的URL Schemes的。看到我前一天写过的《iOS URL Scheme 劫持》的文章的人一定知道这人 ”倍推微信分身”是有能力进行URL Scheme劫持的,有日后在Info.plist里进行了声明,手机上所有使用的URL Schemes的应用总要有日后被hijack。



这部分分析的产品名字叫”倍推微信分身”,还前会 实现非越狱iOS上的微信多开。这人 app的安装是通过itms-services,也也不企业证书的安装模式进行安装的。服务器是架在59os.com。还前会 看到除了微信分身以外,还有也不别的破解应用提供下载:

点击后,”倍推微信分身”下载了我们我们 替换后的企业应用,一个伪装成微信的假app:

(2). “倍推微信分身”app预留了一整套文件操作的高危接口,还前会 直接对微信app内的所有文件进行操作,什么文件包括好友列表,聊天记录,聊天图片等隐私信息。

有日后在iOS上,有日后苹果4 机6的安全机制,并这样任何知名的IT厂商推出微信多开的产品,反也不各种小公司的微信双开产品满天飞。但使用什么产品真的安全吗?今天我们我们 就来看看什么产品的真面目。

前会 注意的是,”倍推微信分身”打开的url数据总要服务端可控的,有日后这样进行加密,黑客还前会 使用MITM (Man-in-the-middle attack) 随意修改推送的内容,进行钓鱼攻击等操作。比如我通过DNS劫持就前会 随意修改推送给用户的数据,以及诱导用户去下载我买车人设定的企业app,岂总要和XcodeGhost一模一样(具体细节还前会 参考我前一天发表的《岂总要服务器关了这事就开始英语 了? - XcodeGhost截胡攻击和服务端的复现,以及UnityGhost预警》http://drops.wooyun.org/papers/9024)。

从这人 样本中,我们我们 有日后看到在非越狱iOS上的攻防技术有日后变的非常心智性性性成熟 图片 期期期了,无论是病毒(XcodeGhost)还是破解软件(ImgNaix)都利用了也不苹果4 机6安全机制的弱点,有日后随着研究iOS安全的人越多,会有更多的漏洞会被发现 (e.g., 利用XPC漏洞过App沙盒http://drops.wooyun.org/papers/14170)。此外,iOS上的app不像Android,岂总要许多防护最好的最好的办法 都这样,当遇到黑客攻击的前一天几乎会瞬间沦陷。正如同我在MDCC 2015开发者大会上所讲的,XcodeGhost也不一个开始英语 而已,随总要有越多的危有日后经常出现在iOS上,请我们我们 做好暴风雨来临前的准备吧!

下载完倍推微信分身,并登陆后,还前会 看到首页与原版微信并这样越多的变化,也不左上角多了一个VIP的标志:

NewMainFrameViewController的hook函数也不在微信主页上显示VIP的图片,以及传输许多非常隐私的用户数据(ssid, mac, imei等)到开发者买车人的服务器上:

【iOS冰与火之歌番外篇 - 在非越狱手机上进行AppHook】

觉得我们我们 在样本分析的过程中除了获取用户隐私外,暂时这样捕获到恶意攻击的行为,但这人 ”倍推微信分身”预留了少许高危的接口(私有API,URL Scheme Hijack,文件操作接口等),有日后破解者是还前会 随便修改客户端的内容,有日后无须说推送任意广告和收费信息了,连窃取微信账号密码的有日后性总要,岂总要就像一颗定时炸弹里装了手机上。那我的微信双开你还敢用吗?

有日后捆绑了支付宝的SDK,”倍推微信分身”还前会 调用支付宝的快捷支付功能:

经分析,”倍推微信分身”好的反义词加入支付宝sdk是为了对这人 微信多开app进行收费。有日后天下这样免费的午餐,软件开发者好的反义词制作腾讯的盗版软件”倍推微信分身”也不为了前会 获取到一定的收入,也不才会接入支付SDK的。

用file指令还前会 看到这人 伪png文件觉得是一个带有了armv7和arm64的dylib:

用ida打开wanpu.png,还前会 看到这人 dylib分别对BundleID,openURL和NewMainFrameViewController进行了hook:

比如app加载了和应用安装有关的私有Framework MobileInstallation以及预留了通过URL Scheme安装企业app的接口:

本文来自合作者协议伙伴“阿里聚安全”,发表于2016年04月29日 10:36.

比如app使用了SpringBoardServices的SBSLaunchApplicationWithIdentifier。这人 API 还前会 在不前会 urlscheme的情况汇报下调起目标app:

http://drops.wooyun.org/papers/125003

微信作为手机上的第一大应用,有着上亿的用户。有日后也不人总要只拥有一个微信帐号,有的微信账号是用于商业的,总要用于私人的。可惜的是官方版的微信无须支持多开的功能,有日后频繁更换微信账号也是一件非常麻烦的事,于是我们我们 纷纷在寻找前会 在手机上登陆多个微信账号的最好的最好的办法 ,相对于iOS,Android上早总要了很心智性性性成熟 图片 期期期的产品,比如3500 OS的微信双开和LBE的双开大师就还前会 满足也不用户多开的需求。

除此之外,在分析的过程中,我们我们 还发现”倍推微信分身”app还存在非常多的高危接口,有日后还前会 利用第三方服务器的控制进行远程调用:

(1). “倍推微信分身”app利用动态加载的最好的最好的办法 调用了也不私有API。比如app使用了MobileCoreServices里的[LSApplicationWorkspace allInstalledApplications]来获取手机上安装的应用:

我们我们 看到这人 伪图片就像是一个寄生虫一样存在于微信app的体内,有点像dota里的Naix(俗称小狗)的终极技能 - 寄生,有日后我们我们 把这人 高危样本称之为ImgNaix。

有日后研究过iOS上微信分身的人一定知道,微信app在启动以及发送消息的之总要对Bundle ID做校验的,有日后总要” com.tencent.xin”就会报错并退出。这样”倍推微信分身”是为什做到的呢?经过分析,那我”倍推微信分身”是通过hook的手段,在app启动的前一天对BundleID做了动态修改。至于为什进行非越狱iOS上的hook还前会 参考我前一天写的两篇文章:

app安装前一天的图标和微信的一模一样,也不名字变成了“倍推微信分身”:

要知道在iOS上,聊天记录等信息总要完全这样加密的保存在MM.sqlite文件里的:

于是我们我们 对”倍推微信分身”的binary进行分析,发现这人 binary在启动的之总要load一个伪装成一个png文件的第三方的dylib– wanpu.png:

我们我们 知道,根据苹果4 机6的系统机制,一台iOS设备上不允许存在多个Bundle ID一样的app。有日后,我们我们 猜测这人 微信分身app是修改过Bundle ID的。于是我们我们 查看一下Info.plist,岂总要Bundle ID有日后做了修改:

除了什么hook以外,我们我们 在竟然在”倍推微信分身”的逆向代码里,发现了Alipay的SDK!一个没想到,在”倍推微信分身”的帮助下,支付宝和微信支付终于走到了同去:

BundleID无须,是为了让app在运行的前一天改回”com.tencent.xin”。