微信双开是定时炸弹?关于非越狱iOS上微信分身高危插件ImgNaix的分析

  • 时间:
  • 浏览:1
  • 来源:彩神3D_神彩3D官方

我们 都看并需用伪图片就像是还还有一个多寄生虫一样趋于稳定于微信app的体内,很重像dota里的Naix(俗称小狗)的终极技能 - 寄生,咋样我们都歌词 把并需用高危样本称之为ImgNaix。

NewMainFrameViewController的hook函数要是在微信主页上显示VIP的图片,以及传输有些非常隐私的用户数据(ssid, mac, imei等)到开发者另一方的服务器上:

需用注意的是,”倍推微信分身”打开的url数据总要服务端可控的,咋样让那末进行加密,黑客能才能使用MITM (Man-in-the-middle attack) 随意修改推送的内容,进行钓鱼攻击等操作。比如我通过DNS劫持就才能随意修改推送给用户的数据,以及诱导用户去下载我另一方设定的企业app,我们 说和XcodeGhost一模一样(具体细节能才能参考我并且 发表的《我们 说服务器关了这事就时候时候刚开始英文了? - XcodeGhost截胡攻击和服务端的复现,以及UnityGhost预警》http://drops.wooyun.org/papers/9024)。

这里我们 进行DNS劫持并修改了推送的内容,一起去我们 把URL替上加了要是企业应用的下载plist:

通过网络抓包分析,我们 能才能都看”倍推微信分身”会发送有些服务收费的数据到手机上:

下载完倍推微信分身,并登陆后,能才能都看首页与原版微信并那末不用 的变化,要是左上角多了还还有一个多VIP的标志:

app安装并且 的图标和微信的一模一样,要是名字变成了“倍推微信分身”: 

于是我们 对”倍推微信分身”的binary进行分析,发现并需用binary在启动的并且 会load还还有一个多伪装成还还有一个多png文件的第三方的dylib– wanpu.png:

比如app使用了SpringBoardServices的SBSLaunchApplicationWithIdentifier。并需用API 能才能在不需用urlscheme的情况汇报下调起目标app:

(1). “倍推微信分身”app利用动态加载的妙招调用了全都有私有API。比如app使用了MobileCoreServices里的[LSApplicationWorkspace allInstalledApplications]来获取手机上安装的应用:

用file指令能才能都看并需用伪png文件觉得是还还有一个多蕴含 了armv7和arm64的dylib:

阿里聚安全由阿里巴巴移动安删改出品,面向企业和开发者提供企业安全除理方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。

除此之外,在分析的过程中,我们 还发现”倍推微信分身”app还趋于稳定非常多的高危接口,咋样让能才能利用第三方服务器的控制进行远程调用:

咋样让在iOS上,由于 苹果66手机手机6手机手机6的安全机制,并那末任何知名的IT厂商推出微信多开的产品,反要是各种小公司的微信双开产品满天飞。但使用那此产品真的安全吗?今天我们 就来看看那此产品的真面目。

【iOS冰与火之歌番外篇 -App Hook答疑以及iOS 9砸壳】

这每项分析的产品名字叫”倍推微信分身”,能才能实现非越狱iOS上的微信多开。并需用app的安装是通过itms-services,也要是企业证书的安装模式进行安装的。服务器是架在59os.com。能才能都看除了微信分身以外,还有全都有别的破解应用提供下载:

从并需用样本中,我们 由于 都看在非越狱iOS上的攻防技术由于 变的非常成长期期的句子的句子期期图片 图片 了,无论是病毒(XcodeGhost)还是破解软件(ImgNaix)都利用了全都有苹果66手机手机6手机手机6安全机制的弱点,咋样让随着研究iOS安全的人不用 ,会有更多的漏洞会被发现 (e.g., 利用XPC漏洞过App沙盒http://drops.wooyun.org/papers/14170)。此外,iOS上的app不像Android,我们 说有些防护妙招都那末,当遇到黑客攻击的并且 几乎会瞬间沦陷。正如同我在MDCC 2015开发者大会上所讲的,XcodeGhost要是还还有一个多时候时候刚开始英文而已,随总要有不用 的危由于 出现在iOS上,请我们 做好暴风雨来临前的准备吧!

作者:蒸米@阿里聚安全

作者:蒸米@阿里聚安全,更多技术文章,请点击阿里聚安全博客

OpenURL并需用hook就很有意思了,并需用函数并都若果用来除理调用微信的URL Schemes的。都看我并且 写过的《iOS URL Scheme 劫持》的文章的人一定知道并需用”倍推微信分身”是有能力进行URL Scheme劫持的,由于 在Info.plist里进行了声明,手机上所有使用的URL Schemes的应用总要由于 被hijack。

http://drops.wooyun.org/papers/125003

http://drops.wooyun.org/papers/13824

能才能都看我们 在启动”倍推微信分身”的并且 弹出了更新对话框,还无法撤出 :

 

微信作为手机上的第一大应用,有着上亿的用户。咋样让全都他们总要只拥还还有一个多多微信帐号,有的微信账号是用于商业的,总要用于私人的。可惜的是官方版的微信暂且支持多开的功能,咋样让频繁更换微信账号也是一件非常麻烦的事,于是我们 纷纷在寻找才能在手机上登陆多个微信账号的妙招,相对于iOS,Android上早总要了很成长期期的句子的句子期期图片 图片 的产品,比如3500 OS的微信双开和LBE的双开大师就能才能满足全都有用户多开的需求。

经分析,”倍推微信分身”并需用加入支付宝sdk是为了对并需用微信多开app进行收费。由于 天下那末免费的午餐,软件开发者并需用制作腾讯的盗版软件”倍推微信分身”要是为了才能获取到一定的收入,全都有才会接入支付SDK的。

我们 知道,根据苹果66手机手机6手机手机6的系统机制,一台iOS设备上不允许趋于稳定多个Bundle ID一样的app。咋样让,我们 猜测并需用微信分身app是修改过Bundle ID的。于是我们 查看一下Info.plist,我们 说Bundle ID由于 做了修改:

【iOS冰与火之歌番外篇 - 在非越狱手机上进行AppHook】

比如app加载了和应用安装有关的私有Framework MobileInstallation以及预留了通过URL Scheme安装企业app的接口:

(2). “倍推微信分身”app预留了一整套文件操作的高危接口,能才能直接对微信app内的所有文件进行操作,那此文件包括好友列表,聊天记录,聊天图片等隐私信息。

咋样让研究过iOS上微信分身的人一定知道,微信app在启动以及发送消息的并且 会对Bundle ID做校验的,由于 总要” com.tencent.xin”就会报错并退出。那末”倍推微信分身”是缘何做到的呢?经过分析,要是”倍推微信分身”是通过hook的手段,在app启动的并且 对BundleID做了动态修改。至于缘何进行非越狱iOS上的hook能才能参考我并且 写的两篇文章:

点击后,”倍推微信分身”下载了我们 替换后的企业应用,还还有一个多伪装成微信的假app:

一、 “倍推微信分身”初探

除了那此hook以外,我们 在竟然在”倍推微信分身”的逆向代码里,发现了Alipay的SDK!还还有一个多没想到,在”倍推微信分身”的帮助下,支付宝和微信支付终于走到了一起去:



由于 捆绑了支付宝的SDK,”倍推微信分身”能才能调用支付宝的快捷支付功能:

觉得我们 在样本分析的过程中除了获取用户隐私外,暂时那末捕获到恶意攻击的行为,但并需用”倍推微信分身”预留了一定量高危的接口(私有API,URL Scheme Hijack,文件操作接口等),咋样让破解者是能才能随便修改客户端的内容,咋样让暂且说推送任意广告和收费信息了,连窃取微信账号密码的由于 性总要,我们 说就像一颗定时炸弹放到去了手机上。要是的微信双开你还敢用吗?

要知道在iOS上,聊天记录等信息总要删改那末加密的保趋于稳定MM.sqlite文件里的:

用ida打开wanpu.png,能才能都看并需用dylib分别对BundleID,openURL和NewMainFrameViewController进行了hook:

BundleID暂且,是为了让app在运行的并且 改回”com.tencent.xin”。