新型iOS木马TinyV出现:攻击越狱设备

简介:

iOS 设备的安全一直为业界所重视,日前企业安全领域领导者 Palo Alto Networks 撰文分析了最近几个月所发现的新木马“TinyV”。在今年的 10 月份,Palo Alto 发现了一个恶意的负载文件瞄准了 iOS 的越狱设备,经过调查后发现,Palo Alto 认为该文件属于一个名为“TinyV”的新型 iOS 木马家族。在 12 月,有中国用户指出他们的设备受到了这个恶意软件的影响。

经过进一步的深入研究后,Palo Alto 发现该恶意文件已经被重新打包并植入到一些 iOS 应用中,而这些 iOS 应用往往可以通过多个渠道进行下载(非 App Store 渠道)。在接下来的篇幅里,我们将会讨论“TinyV”是如何工作以及如何传播的。

重新打包和传播

“TinyV”被重新打包进一些为越狱设备而“准备”的应用中,受影响的 iOS 应用不少。经过重新打包后,这些应用被上传到网络并提供用户下载。

用户有可能通过 xx 助手下载到这些受感染的应用,在一些应用的官网上供下载的应用,也不见得是十分安全。我们往往在 iOS 设备上访问这些网站的下载链接的时候会被跳转到描述文件页面并让用户安装,这些被标榜为企业级应用的应用往往需要用户手动开启验证,才可以在设备上使用该应用。

需要指出的是,“TinyV”重新打包的方式和之前的 iOS 或者 OSX 恶意应用不太一样(和之前著名的 WireLurker 也不一样)。例如在某个受感染的播放器应用的 iOS 安装文件“com.某某.ipa”中,往往存在着两个执行文件。一个是主要的执行文件 Mach-O ,而另一个则是名为“xg.png”的 Mach-O 动态库文件。在主要执行文件的导入表中,最后的导入入口是“@executable_path/xg.png”。这意味着在应用被执行后,“xg.png”的文件将会被加载。

而在其它受感染的应用中,除了主要的 Mach-O 执行文件外,也会出现一些额外的 Mach-O 动态库文件:“dj.png”, “macro_off@2x.png和zippo_on@2x.png” 。“TinyV”的作者修改了原来的应用文件,并增加这些动态库文件到导入表中。

被加载的“xg.png”文件将会通过调用方法来连接到 C2 服务器并取得配置信息。被 C2 提供的配置将会指向一个 ZIP 文件的 URL,并被指定为一个带有“zipinstall”值的 “shName”。

在这个被感染的应用中, “macro_off@2x.png” 将会访问同一个 C2 服务器的另一个页面来获取其配置。这次“debUrl”值使用 XOR 算法加密。尽管代码混淆,但使用关键的 “0xaf”加密,却依然可以显示相同的 URL。

恶意行为

从 C2 服务器获得配置后,“TinyV”将会从授予的“debUrl” 值中下载 ZIP 文件。这里调查的 ZI P文件被托管在另一个 C2 服务器apt[.]appstt.com 上,目前该 URL 地址出现 404 错误。不过据说在 10 月底开始调查的时候,这个 URL 是可以访问的,并且“deb.zip”文件也可以下载。

在这个“deb.zip”文件中,包含了 4 个文件

safemode.deb(saurik 官方提供的 MobileSafety 插件)

freeDeamo/usr/bin/locka(实施恶意行为的 Mach-O 执行文件)

freeDeamo/Library/LaunchDaemons/com.locka.plist(一个 PLIST 文件,用于在 iOS 作为一个守护进程配置“locka”)

freeDeamo/zipinstall(命令进程文件)

下载和解压这个ZIP文件后,xg.png 将会执行 zipinstall 脚本来安装 locka 和 com.locka.plist。

locka 文件主要执行的“TinyV”恶意行为包括:

连接 C2 服务器来获得远程指令

在后台安装指定的 IPA 文件或 DEB 文件

在后台卸载指定的 IPA 应用或 DEB 包

改变 /etc/hosts 文件

值得一提的是,研究人员还发现了一个名为“ClassStaticFunctionHook”的函数,目前该函数只被用于钩住广告的 SDK 代码。然而它有可能在被感染的应用中产生更危险的后果。

影响

在 12 月 12 日,“TinyV”开始通过一个名为“XZ Helper”的插件来进行传播,许多用户都发现了 XY Helper 插件出现在他们的 iOS 设备中。由于“TinyV”的代码执行和大量的 C2 服务器指令,即使删除了该插件还是会被重新安装。不少用户在威锋论坛里指出了这个问题,目前受该恶意程序影响的设备似乎只出现在中国。

最后,Palo Alto 建议用户如果没有必要的话切勿轻易越狱,又或者是不要安装任何来自未知来源的企业级应用。






本文作者:佚名
来源:51CTO
目录
相关文章
|
4月前
|
Android开发 iOS开发 UED
探索未来:Android与iOS在智能穿戴设备上的较量
随着科技的飞速进步,智能穿戴设备已经成为我们日常生活中不可或缺的一部分。本文将深入探讨两大操作系统——Android和iOS——在智能穿戴领域的竞争与发展,分析它们各自的优势与挑战,并预测未来的发展趋势。通过比较两者在设计哲学、生态系统、用户体验及创新技术的应用等方面的差异,揭示这场较量对消费者选择和市场格局的影响。 【7月更文挑战第31天】
50 0
|
6月前
|
机器学习/深度学习 PyTorch TensorFlow
是否有其他框架可以在iOS设备上进行机器学习?
是否有其他框架可以在iOS设备上进行机器学习?
50 1
|
6月前
|
存储 数据建模 iOS开发
iOS设备功能和框架: 什么是 Core Data,它在 iOS 中的作用是什么?
iOS设备功能和框架: 什么是 Core Data,它在 iOS 中的作用是什么?
97 1
|
6月前
|
定位技术 iOS开发
iOS设备功能和框架: 如何使用 Core Location 获取设备的位置信息?
iOS设备功能和框架: 如何使用 Core Location 获取设备的位置信息?
74 0
|
3月前
|
运维 网络安全 iOS开发
厉害!外国网络工程师用Ansible给思科IOS设备升级!
厉害!外国网络工程师用Ansible给思科IOS设备升级!
|
3月前
|
BI Linux 数据安全/隐私保护
忘了 iOS(iPad、IPhone) 设备上的「屏幕使用时间」密码怎么办?找回屏幕密码
忘了 iOS(iPad、IPhone) 设备上的「屏幕使用时间」密码怎么办?找回屏幕密码
108 0
|
4月前
|
Android开发 数据安全/隐私保护 iOS开发
探索未来:安卓与iOS在智能穿戴设备领域的较量
随着科技的飞速发展,智能穿戴设备已逐渐成为我们日常生活的一部分。从健康监测到通讯交流,它们正以惊人的速度改变着我们的生活方式。本文将深入探讨安卓和iOS这两大操作系统在智能穿戴领域的现状、竞争以及未来发展趋势,揭示它们如何通过创新技术满足用户需求,并预测未来可能的发展方向。
41 0
|
6月前
|
机器学习/深度学习 PyTorch TensorFlow
iOS设备功能和框架: 什么是 Core ML?如何在应用中集成机器学习模型?
iOS设备功能和框架: 什么是 Core ML?如何在应用中集成机器学习模型?
168 0
|
6月前
|
iOS开发
iOS设备功能和框架: 如何使用 Core Animation 创建动画效果?
iOS设备功能和框架: 如何使用 Core Animation 创建动画效果?
135 0
|
移动开发 安全 数据安全/隐私保护
iOS移动应用安全加固:保护您的App免受恶意攻击的重要步骤
本文介绍了移动应用程序(App)加固的概念和流程,以及市场上几家知名的APP加固公司。同时提供了对iOS ipa文件进行混淆保护的方案,以增强App的安全性和防范反编译和破解行为。