XcodeGhost截胡攻擊和服務(wù)端的惡意行為分析

2015-10-26 09:09 作者：admin 瀏覽量：

　　XcodeGhost作者的服務(wù)器關(guān)閉了，但是受感染的app的行為還在，這些app依然孜孜不倦的向服務(wù)器(比如init.icloud-analysis.com，init.icloud-diagnostics.com等)發(fā)送著請(qǐng)求。這時(shí)候黑客只要使用DNS劫持或者污染技術(shù)，聲稱自己的服務(wù)器就是”init.icloud-analysis.com”，就可以成功的控制這些受感染的app。具體能干什么能，請(qǐng)看我們的詳細(xì)分析。（網(wǎng)絡(luò)外包公司）

　　惡意行為一 定向在客戶端彈(詐騙)消息

　　該樣本先判斷服務(wù)端下發(fā)的數(shù)據(jù)，如果同時(shí)在在“alertHeader”、“alertBody”、“appID”、“cancelTitle”、“confirmTitle”、“scheme”字段，則調(diào)用UIAlertView在客戶端彈框顯示消息窗口：

　　消息的標(biāo)題、內(nèi)容由服務(wù)端控制

　　客戶端啟動(dòng)受感染的App后，彈出如下頁面：

　　惡意行為二 下載企業(yè)證書簽名的App

　　當(dāng)服務(wù)端下發(fā)的數(shù)據(jù)同時(shí)包含“configUrl”、“scheme”字段時(shí)，客戶端調(diào)用Show()方法，Show()方法中調(diào)用UIApplication.openURL()方法訪問configUrl：

　　通過在服務(wù)端配置configUrl，達(dá)到下載安裝企業(yè)證書App的目的：(北京it外包)

　　客戶端啟動(dòng)受感染的App后，目標(biāo)App將被安裝：

　　demo地址：http://v.youku.com/v_show/id_XMTM0MTQyMzM1Ng==.html

　　惡意行為三 推送釣魚頁面

　　通過在服務(wù)端配置configUrl，達(dá)到推送釣魚頁面的目的：

　　客戶端啟動(dòng)受感染的App后，釣魚頁面被顯示：

　　demo地址：http://v.youku.com/v_show/id_XMTM0MTQyMjkyOA==.html(IT外包)

　　艾銻無限是中國(guó)領(lǐng)先IT外包服務(wù)商，專業(yè)為企業(yè)提供IT運(yùn)維外包、電腦維護(hù)、網(wǎng)絡(luò)維護(hù)、網(wǎng)絡(luò)布線、辦公設(shè)備維護(hù)、服務(wù)器維護(hù)、數(shù)據(jù)備份恢復(fù)、門禁監(jiān)控、網(wǎng)站建設(shè)等多項(xiàng)IT服務(wù)外包,服務(wù)熱線：400-650-7820 聯(lián)系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區(qū)北京科技會(huì)展2號(hào)樓16D,用心服務(wù)每一天，為企業(yè)的發(fā)展提升更高的效率，創(chuàng)造更大的價(jià)值。

　　更多的IT外包信息盡在艾銻無限http://www.genglou.cn