• 文章/ARTICLE
  • 越狱环境Cydia源安全性分析
  • 360NirvanTeam 2015-12-23 3436

  Cydia源为越狱环境下的软件仓库,大部分插件来自Cydia源,Cydia源的审核机制与苹果官方商店AppStore不同,其中的软件安全性无法评估。本文通过扫描国内外几大源中deb包中url,对大量出现的恶意url进行分析,得出Cydia源中的软件的基本安全性报告。

 

一,背景

 

    越狱环境下大部分插件来自Cydia源,Cydia源的审核机制与苹果官方商店AppStore不同,越狱插件的权限普遍较大,相对恶意插件的危害性也越大,由于Cydia的保护机制与复杂性,目前尚无Cydia源中恶意插件的相关分析报告

 

    本文通过逆向协议遍历几大官方源中deb包,扫描安装包內url信息匹配恶意url,并对同一恶意url多次出现的app进行详细分析,对越狱环境下Cydia官方源进行基础性安全分析

 

二,样本说明

 

    分析样本取自国内外常用的大型源bigboss,Telesphoreo,modmyi,zodttd,威锋,178等,共45078个deb包,扫出url结果17035条

 

三,扫描结果

 

   恶意url类型如下:

   1,非恶意网址
   2,挂马网址
   3,篡改首页等网址
   4,钓鱼欺诈网
   5,恶意软件下载地址
   6,木马下载者网址
   7,未明确定义的恶意网址

   url结果进行网盾检测发现恶意url共79条,类型均为钓鱼欺诈网站

 

屏幕快照 2015-12-21 下午5.13.42

屏幕快照 2015-12-21 下午5.13.28

四,结果分析

 

  在网盾扫描结果显示为恶意url的出现频率由高到低依次为:

  https://d.appsdt.com/download/tracker

  http://api.tr.im/

  http://api.suizong.com/mobile/ADServerShowAPI

  http://init.icloud-analysis.com

  对以上一个恶意url存在于多个app的行为进行样本分析:

 

1,https://d.appsdt.com/download/tracker

   邑盟信息技术有限公司移动广告平台的广告监测工具Inmobi AdTracker,下载地址http://china.inmobi.com,通过libInMobi.a编译到app中,解开.a包含159个.0文件,依次查看未发现恶意行为

 

   对包含以上url的app进行分析(以内存助手3.4.1为例):

屏幕快照 2015-12-21 下午5.14.06

   硬编码恶意url的代码位置为初始化渠道检测工具(监测投放广告用户是否点击是否留存)的配置,未发现调用以及恶意行为

 

2,http://api.tr.im

   网址缩略服务api用于地址重定向,tr.im已于2014年3月22日废弃网址缩略服务,但api仍可正常使用,检测重定向网址均跳转tr.im,无法重定向

 

   对包含以上url的app进行分析(以uShorten 1.0为例): 屏幕快照 2015-12-22 下午6.29.27    未发现url相关的类或SDK,url仅作为重定向的网址字符串使用,未发现恶意请求

 

3,http://api.suizong.com/mobile/ADServerShowAPI

    移动营销公司随踪科技SDK

    扫描结果中恶意url代码位置为广告加载完成后收集用户信息的url

 

    对包含url的app进行分析(以wifi助手0.0.1为例),具体收集信息如下

屏幕快照 2015-12-21 下午5.14.25

    基本信息收集,未发现其他恶意行为

 

4,http://init.icloud-analysis.com

   XCodeGhost木马用于上传用户信息等恶意操作,详见:http://www.freebuf.com/vuls/78945.html

   XCodeGhost曝光后大部分app已更新,少量应用依旧存在感染

 

5,bocbac.com,TV3886.tk,cctv268.tk,cntv722.com,bocmg.tk,bocks.tk,2011CCtv18.com,bocbx.com,935cctv.com等系列

   安全软件及通讯录拦截插件用于将以上恶意钓鱼网址写入数据库进行拦截

   对包含以上大量网址的app进行分析(以360MobileSafe 1.9.2为例):

   将恶意网址加入360.db.1中,用于本地数据库升级操作,加入最新恶意网址进行拦截

屏幕快照 2015-12-21 下午5.14.45

   将以上硬编码的恶意网址插入更新当前数据库:

屏幕快照 2015-12-21 下午5.14.54

   杀毒软件恶意url入库正常操作,未发现威胁

 

五,总结

 

   全部样本取自类似官方平台的大源,上架均需审核。全部分析结果中除XCodeghost外其他显示恶意url均为广告投放和地址重定向,未发现其他未知威胁

 

微信 扫一扫

分享到