XcodeGhost截胡攻击和服务端的恶意行为分析

2015-10-26 09:09 作者：admin 浏览量：

　　XcodeGhost作者的服务器关闭了，但是受感染的app的行为还在，这些app依然孜孜不倦的向服务器(比如init.icloud-analysis.com，init.icloud-diagnostics.com等)发送着请求。这时候黑客只要使用DNS劫持或者污染技术，声称自己的服务器就是”init.icloud-analysis.com”，就可以成功的控制这些受感染的app。具体能干什么能，请看我们的详细分析。（网络外包公司）

　　恶意行为一 定向在客户端弹(诈骗)消息

　　该样本先判断服务端下发的数据，如果同时在在“alertHeader”、“alertBody”、“appID”、“cancelTitle”、“confirmTitle”、“scheme”字段，则调用UIAlertView在客户端弹框显示消息窗口：

　　消息的标题、内容由服务端控制

　　客户端启动受感染的App后，弹出如下页面：

　　恶意行为二 下载企业证书签名的App

　　当服务端下发的数据同时包含“configUrl”、“scheme”字段时，客户端调用Show()方法，Show()方法中调用UIApplication.openURL()方法访问configUrl：

　　通过在服务端配置configUrl，达到下载安装企业证书App的目的：(北京it外包)

　　客户端启动受感染的App后，目标App将被安装：

　　demo地址：http://v.youku.com/v_show/id_XMTM0MTQyMzM1Ng==.html

　　恶意行为三 推送钓鱼页面

　　通过在服务端配置configUrl，达到推送钓鱼页面的目的：

　　客户端启动受感染的App后，钓鱼页面被显示：

　　demo地址：http://v.youku.com/v_show/id_XMTM0MTQyMjkyOA==.html(IT外包)

　　艾锑无限是中国领先IT外包服务商，专业为企业提供IT运维外包、电脑维护、网络维护、网络布线、办公设备维护、服务器维护、数据备份恢复、门禁监控、网站建设等多项IT服务外包,服务热线：400-650-7820 联系电话：010-62684652 咨询QQ1548853602 地址：北京市海淀区北京科技会展2号楼16D,用心服务每一天，为企业的发展提升更高的效率，创造更大的价值。

　　更多的IT外包信息尽在艾锑无限http://www.itbmw.com