新型iOS木马TinyV出现 专门针对越狱设备

最近,新型iOS木马TinyV出现了,这个主要是一些app中植入了一些垃圾广告导致,那么下面就和当下小编一起来看看这个木马的来历吧!
 

iOS木马截图
 

Palo Alto Networks公司的安全研究人员在今年10月份发现了该木马文件,当时其实发现了一个恶意的负载文件瞄准了 iOS 的越狱设备,并发现该文件属于一个名为“TinyV”的新型 iOS 木马家族。最近,有中国用户指出他们的设备受到了这个恶意软件的影响。目前该公司发现这个木马只是针对越狱的iOS设备,该恶意木马文件已经被重新打包并植入到一些 iOS 应用中,而这些 iOS 应用往往可以通过多个第三方渠道进行下载。
 

Palo Alto Networks公司在研究过程中发现木马文件捆绑在合法的应用程序中,然后通过第三方的网站,诱导用户下载。用户有可能通过第三方网站下载到这些受感染的应用,用户在 iOS 设备上访问这些网站的下载链接的时候会被跳转到描述文件页面并让用户安装,这些应用往往需要用户手动开启验证,才可以在设备上使用该应用。
 

app第三方渠道
 

同时Palo Alto Networks公司建议用户不要在苹果官方应用商店之外的第三方网站下载应用,还有尽可能的避免越狱iOS设备。TinyV“重新打包的方式和之前着名的 WireLurker 也不一样。其实存在着两个执行文件。如果在某个受感染的播放器应用的 iOS 安装文件”com.某某。ipa“中一个是主要的执行文件 Mach-O ,而另一个则是名为”xg.png“的 Mach-O 动态库文件。
 

在主要执行文件的导入表中,最后的导入入口是”@executable_path/xg.png“。这意味着在应用被执行后,”xg.png“的文件将会被加载。而在其它受感染的应用中,除了主要的 Mach-O 执行文件外,也会出现一些额外的 Mach-O 动态库文件即”dj.png“, ”macro_off@2x.png和zippo_on@2x.png“ 。
 

软件代码
 

”TinyV“的作者修改了原来的应用文件,并增加这些动态库文件到导入表中。被加载的”xg.png“文件将会通过调用方法来连接到 服务器并取得配置信息,服务器提供的配置信息将会指向一个 ZIP 文件的URL。
 

从 C2 服务器获得配置后,”TinyV“将会获取权限并从”debUrl“ 值中下载 ZIP 文件。这里调查的ZIP文件被托管在另一个 C2 服务器apt[.]appstt.com 上,目前该 URL 地址出现 404 错误。不过据Palo Alto Networks公司调查在 10 月底开始调查的时候,这个 URL 是可以访问的,并且”deb.zip“文件也可以下载。
 

软件压缩包代码
 

在这个”deb.zip“文件中,包含了 4 个文件:
 

safemode.deb(saurik 官方提供的 MobileSafety 插件)
 

freeDeamo/usr/bin/locka(实施恶意行为的 Mach-O 执行文件)
 

freeDeamo/Library/LaunchDaemons/com.locka.plist(一个 PLIST 文件,用于在 iOS 作为一个守护进程配置”locka“)
 

freeDeamo/zipinstall(命令进程文件)
 

下载和解压这个ZIP文件后,xg.png 将会执行 zipinstall 脚本来安装 locka 和 com.locka.plist。
 

目前该木马主要针对的是越狱的iOS设备,同时报道中指出用户在安装和选择第三方应用时需要保持注意。

相关阅读
网友评论
图文推荐
  • 百度杀毒怎么样 百度杀毒软件好吗

    百度杀毒软件好吗?这是很多用户在使用百度杀毒这款软件之前的疑问,因为杀毒软件实在太多,用户有这样的疑问也无可厚非,今天,小编就带大家看看百度杀毒的一些特色吧,或许能够解答用户的疑问了!

  • 勒索病毒怎么清除 勒索病毒彻底清除方法

    很多用户的电脑遭受了勒索病毒的侵入,那么要如何清除勒索病毒呢?接下来,小编就为大家带来勒索病毒清除方法以及勒索病毒清除工具,感兴趣的朋友可以来了解下。

  • 比特币病毒怎么解决 比特币病毒解决方法

    最近,很多朋友都被比特币勒索病毒给刷屏了,黑客通过索要破解费用来获取利益,那么,比特币病毒怎么破解呢?接下来,小编就为大家带来比特币病毒解决方法。