近日，網(wǎng)絡(luò)安全公司Palo Alto Networks公司的安全研究人員Claud Xiao發(fā)布了一篇內(nèi)容為分析新木馬“TinyV”的文章。

[[159848]]

安全公司Palo Alto Networks在10月發(fā)現(xiàn)該木馬

Palo Alto Networks公司的安全研究人員在今年10月份發(fā)現(xiàn)了該木馬文件，當(dāng)時(shí)其實(shí)發(fā)現(xiàn)了一個(gè)惡意的負(fù)載文件瞄準(zhǔn)了 iOS 的越獄設(shè)備，并發(fā)現(xiàn)該文件屬于一個(gè)名為“TinyV”的新型 iOS 木馬家族。最近，有中國(guó)用戶(hù)指出他們的設(shè)備受到了這個(gè)惡意軟件的影響。目前該公司發(fā)現(xiàn)這個(gè)木馬只是針對(duì)越獄的iOS設(shè)備，該惡意木馬文件已經(jīng)被重新打包并植入到一些 iOS 應(yīng)用中，而這些 iOS 應(yīng)用往往可以通過(guò)多個(gè)第三方渠道進(jìn)行下載。

Palo Alto Networks公司發(fā)現(xiàn)研究過(guò)程

Palo Alto Networks公司在研究過(guò)程中發(fā)現(xiàn)木馬文件捆綁在合法的應(yīng)用程序中，然后通過(guò)第三方的網(wǎng)站，誘導(dǎo)用戶(hù)下載。用戶(hù)有可能通過(guò)第三方網(wǎng)站下載到這些受感染的應(yīng)用，用戶(hù)在 iOS 設(shè)備上訪問(wèn)這些網(wǎng)站的下載鏈接的時(shí)候會(huì)被跳轉(zhuǎn)到描述文件頁(yè)面并讓用戶(hù)安裝，這些應(yīng)用往往需要用戶(hù)手動(dòng)開(kāi)啟驗(yàn)證，才可以在設(shè)備上使用該應(yīng)用。

同時(shí)Palo Alto Networks公司建議用戶(hù)不要在蘋(píng)果官方應(yīng)用商店之外的第三方網(wǎng)站下載應(yīng)用，還有盡可能的避免越獄iOS設(shè)備。TinyV”重新打包的方式和之前著名的 WireLurker 也不一樣。其實(shí)存在著兩個(gè)執(zhí)行文件。如果在某個(gè)受感染的播放器應(yīng)用的 iOS 安裝文件“com.某某.ipa”中一個(gè)是主要的執(zhí)行文件 Mach-O ，而另一個(gè)則是名為“xg.png”的 Mach-O 動(dòng)態(tài)庫(kù)文件。在主要執(zhí)行文件的導(dǎo)入表中，最后的導(dǎo)入入口是“@executable_path/xg.png”。這意味著在應(yīng)用被執(zhí)行后，“xg.png”的文件將會(huì)被加載。而在其它受感染的應(yīng)用中，除了主要的 Mach-O 執(zhí)行文件外，也會(huì)出現(xiàn)一些額外的 Mach-O 動(dòng)態(tài)庫(kù)文件即“dj.png”, “macro_off@2x.png和zippo_on@2x.png” 。

“TinyV”的作者修改了原來(lái)的應(yīng)用文件，并增加這些動(dòng)態(tài)庫(kù)文件到導(dǎo)入表中。被加載的“xg.png”文件將會(huì)通過(guò)調(diào)用方法來(lái)連接到 服務(wù)器并取得配置信息，服務(wù)器提供的配置信息將會(huì)指向一個(gè) ZIP 文件的URL。

從 C2 服務(wù)器獲得配置后，“TinyV”將會(huì)獲取權(quán)限并從“debUrl” 值中下載 ZIP 文件。這里調(diào)查的ZIP文件被托管在另一個(gè) C2 服務(wù)器apt[.]appstt.com 上，目前該 URL 地址出現(xiàn) 404 錯(cuò)誤。不過(guò)據(jù)Palo Alto Networks公司調(diào)查在 10 月底開(kāi)始調(diào)查的時(shí)候，這個(gè) URL 是可以訪問(wèn)的，并且“deb.zip”文件也可以下載。

在這個(gè)“deb.zip”文件中，包含了 4 個(gè)文件：

safemode.deb(saurik 官方提供的 MobileSafety 插件)

freeDeamo/usr/bin/locka(實(shí)施惡意行為的 Mach-O 執(zhí)行文件)

freeDeamo/Library/LaunchDaemons/com.locka.plist(一個(gè) PLIST 文件，用于在 iOS 作為一個(gè)守護(hù)進(jìn)程配置“locka”)

freeDeamo/zipinstall(命令進(jìn)程文件)

下載和解壓這個(gè)ZIP文件后，xg.png 將會(huì)執(zhí)行 zipinstall 腳本來(lái)安裝 locka 和 com.locka.plist。

目前該木馬主要針對(duì)的是越獄的iOS設(shè)備，同時(shí)報(bào)道中指出用戶(hù)在安裝和選擇第三方應(yīng)用時(shí)需要保持注意。

Palo Alto Networks公司詳細(xì)報(bào)告(作者：Claud Xiao)(點(diǎn)擊我)