微信双开是定时炸弹?关于非越狱iOS上微信分身高危插件ImgNaix的分析

  • 时间:
  • 浏览:2

我们 看了你是什么 伪图片就像是有兩个 寄生虫一样占据 于微信app的体内,特别像dota里的Naix(俗称小狗)的终极技能 - 寄生,咋样让我们 把你是什么 高危样本称之为ImgNaix。

【iOS冰与火之歌番外篇 - 在非越狱手机上进行AppHook】

这帕累托图分析的产品名字叫”倍推微信分身”,上能实现非越狱iOS上的微信多开。你是什么 app的安装是通过itms-services,也统统 企业证书的安装模式进行安装的。服务器是架在59os.com。上能看了除了微信分身以外,还有统统别的破解应用提供下载:

一、 “倍推微信分身”初探

于是我们 对”倍推微信分身”的binary进行分析,发现你是什么 binary在启动的后来来load有兩个 伪装成有兩个 png文件的第三方的dylib– wanpu.png:

经分析,”倍推微信分身”并需要加入支付宝sdk是为了对你是什么 微信多开app进行收费。原因分析天下那末 免费的午餐,软件开发者并需要制作腾讯的盗版软件”倍推微信分身”统统 为了上能获取到一定的收入,统统才会接入支付SDK的。

app安装以前的图标和微信的一模一样,统统 名字变成了“倍推微信分身”: 

http://drops.wooyun.org/papers/1230003

要知道在iOS上,聊天记录等信息需要删剪那末 加密的保占据 MM.sqlite文件里的:



(2). “倍推微信分身”app预留了一整套文件操作的高危接口,上能直接对微信app内的所有文件进行操作,哪几个文件包括好友列表,聊天记录,聊天图片等隐私信息。

BundleID不用,是为了让app在运行的以前改回”com.tencent.xin”。

咋样让研究过iOS上微信分身的人一定知道,微信app在启动以及发送消息的后来来对Bundle ID做校验的,原因分析需要” com.tencent.xin”就会报错并退出。那末 ”倍推微信分身”是咋样做到的呢?经过分析,那末 ”倍推微信分身”是通过hook的手段,在app启动的以前对BundleID做了动态修改。至于咋样进行非越狱iOS上的hook上能参考我以前写的两篇文章:

真是我们 在样本分析的过程中除了获取用户隐私外,暂时那末 捕获到恶意攻击的行为,但你是什么 ”倍推微信分身”预留了大量高危的接口(私有API,URL Scheme Hijack,文件操作接口等),咋样让破解者是上能随便修改客户端的内容,咋样让不用说推送任意广告和收费信息了,连窃取微信账号密码的原因分析性需要,果真就像一颗定时炸弹放进了手机上。那末 的微信双开你还敢用吗?

 

除了哪几个hook以外,我们 在竟然在”倍推微信分身”的逆向代码里,发现了Alipay的SDK!有兩个 没想到,在”倍推微信分身”的帮助下,支付宝和微信支付终于走到了一齐:

OpenURL你是什么 hook就很有意思了,你是什么 函数并都咋样让我用来防止调用微信的URL Schemes的。看了我以前写过的《iOS URL Scheme 劫持》的文章的人一定知道你是什么 ”倍推微信分身”是有能力进行URL Scheme劫持的,原因分析在Info.plist里进行了声明,手机上所有使用的URL Schemes的应用需要原因分析被hijack。

http://drops.wooyun.org/papers/13824

比如app加载了和应用安装有关的私有Framework MobileInstallation以及预留了通过URL Scheme安装企业app的接口:

NewMainFrameViewController的hook函数统统 在微信主页上显示VIP的图片,以及传输某些非常隐私的用户数据(ssid, mac, imei等)到开发者本人的服务器上:

下载完倍推微信分身,并登陆后,上能看了首页与原版微信并那末 不多的变化,统统 左上角多了有兩个 VIP的标志:

需要注意的是,”倍推微信分身”打开的url数据需要服务端可控的,咋样让那末 进行加密,黑客上能使用MITM (Man-in-the-middle attack) 随意修改推送的内容,进行钓鱼攻击等操作。比如我通过DNS劫持就上能随意修改推送给用户的数据,以及诱导用户去下载本人设定的企业app,果真和XcodeGhost一模一样(具体细节上能参考我以前发表的《果真服务器关了这事就开使英语 了? - XcodeGhost截胡攻击和服务端的复现,以及UnityGhost预警》http://drops.wooyun.org/papers/9024)。

微信作为手机上的第一大应用,有着上亿的用户。咋样让统统人需要只拥有兩个 微信帐号,有的微信账号是用于商业的,需要用于私人的。可惜的是官方版的微信不用支持多开的功能,咋样让频繁更换微信账号也是一件非常麻烦的事,于是我们 纷纷在寻找上能在手机上登陆多个微信账号的土办法,相对于iOS,Android上早需要了很性性心智心智成熟期图片 是什么期图片 的产品,比如3300 OS的微信双开和LBE的双开大师就上能满足统统用户多开的需求。

用ida打开wanpu.png,上能看了你是什么 dylib分别对BundleID,openURL和NewMainFrameViewController进行了hook:

除此之外,在分析的过程中,我们 还发现”倍推微信分身”app还占据 非常多的高危接口,咋样让上能利用第三方服务器的控制进行远程调用:

阿里聚安全由阿里巴巴移动安删剪出品,面向企业和开发者提供企业安全防止方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。

咋样让在iOS上,原因分析苹果手机手机的安全机制,并那末 任何知名的IT厂商推出微信多开的产品,反统统 各种小公司的微信双开产品满天飞。但使用哪几个产品真的安全吗?今天我们 就来看看哪几个产品的真面目。

作者:蒸米@阿里聚安全

比如app使用了SpringBoardServices的SBSLaunchApplicationWithIdentifier。你是什么 API 上能在需要urlscheme的清况 下调起目标app:

原因分析捆绑了支付宝的SDK,”倍推微信分身”上能调用支付宝的快捷支付功能:

作者:蒸米@阿里聚安全,更多技术文章,请点击阿里聚安全博客

上能看了我们 在启动”倍推微信分身”的以前弹出了更新对话框,还无法撤回:

【iOS冰与火之歌番外篇 -App Hook答疑以及iOS 9砸壳】

我们 知道,根据苹果手机手机的系统机制,一台iOS设备上不允许占据 多个Bundle ID一样的app。咋样让,我们 猜测你是什么 微信分身app是修改过Bundle ID的。于是我们 查看一下Info.plist,果真Bundle ID原因分析做了修改:

从你是什么 样本中,我们 原因分析看了在非越狱iOS上的攻防技术原因分析变的非常性性心智心智成熟期图片 是什么期图片 了,无论是病毒(XcodeGhost)还是破解软件(ImgNaix)都利用了统统苹果手机手机安全机制的弱点,咋样让随着研究iOS安全的人不多,会有更多的漏洞会被发现 (e.g., 利用XPC漏洞过App沙盒http://drops.wooyun.org/papers/14170)。此外,iOS上的app不像Android,果真某些防护土办法都那末 ,当遇到黑客攻击的以前几乎会瞬间沦陷。正如同我在MDCC 2015开发者大会上所讲的,XcodeGhost统统 有兩个 开使英语 而已,随需要有不多的危原因分析经常总出 在iOS上,请我们 做好暴风雨来临前的准备吧!

这里我们 进行DNS劫持并修改了推送的内容,一齐我们 把URL替加在了那末 企业应用的下载plist:

点击后,”倍推微信分身”下载了我们 替换后的企业应用,有兩个 伪装成微信的假app:

(1). “倍推微信分身”app利用动态加载的土办法调用了统统私有API。比如app使用了MobileCoreServices里的[LSApplicationWorkspace allInstalledApplications]来获取手机上安装的应用:

通过网络抓包分析,我们 上能看了”倍推微信分身”会发送某些服务收费的数据到手机上:

用file指令上能看了你是什么 伪png文件真是是有兩个 富含 了armv7和arm64的dylib: