正文

新型iOS木马TinyV出现:攻击越狱设备

admin
admin V管理员 /0 评论 /6 阅读
1222
此篇文章发布距今已超过1235天,您需要注意文章的内容或图片是否可用!

         iOS 设备的安全一直为业界所重视,日前安全人员撰文分析了最近几个月所发现的新木马“TinyV”。在今年的 10 月份,安全人员发现了一个恶意的负载文件瞄准了 iOS 的越狱设备,经过调查后发现认为该文件属于一个名为“TinyV”的新型 iOS 木马家族。在 12 月,有用户指出他们的设备受到了这个恶意软件的影响。
         经过进一步的深入研究后,安全人员发现该恶意文件已经被重新打包并植入到一些 iOS 应用中,而这些 iOS 应用往往可以通过多个渠道进行下载(非 App Store 渠道)。下文将会讨论“TinyV”是如何工作以及如何传播的。
        “TinyV”被重新打包进一些为越狱设备而“准备”的应用中,受影响的 iOS 应用不少。经过重新打包后,这些应用被上传到网络并提供用户下载。
        用户有可能通过 xx 助手下载到这些受感染的应用,在一些应用的官网上供下载的应用,也不一定是十分安全。我们往往在 iOS 设备上访问这些网站的下载链接的时候会被跳转到描述文件页面并让用户安装,这些被标榜为企业级应用的应用往往需要用户手动开启验证,才可以在设备上使用该应用。

          需要指出的是,“TinyV”重新打包的方式和之前的iOS或者OSX恶意应用不太一样(和之前WireLurker 也不一样)。例如在某个受感染的播放器应用的iOS安装文件“com.某某.ipa”中,往往存在着两个执行文件。一个是主要的执行文件Mach-O,而另一个则是名为“xg.png”的Mach-O动态库文件。在主要执行文件的导入表中,最后的导入入口是“@executable_path/xg.png”。这意味着在应用被执行后,“xg.png”的文件将会被加载。
         而在其它受感染的应用中,除了主要的Mach-O执行文件外,也会出现一些额外的Mach-O 动态库文件:“dj.png”, “[email protected][email protected]” 。“TinyV”的作者修改了原来的应用文件,并增加这些动态库文件到导入表中。
被加载的“xg.png”文件将会通过调用方法来连接到C2服务器并取得配置信息。被C2提供的配置将会指向一个ZIP文件的URL,并被指定为一个带有“zipinstall”值的 “shName”。
        在这个被感染的应用中, “[email protected]”将会访问同一个C2服务器的另一个页面来获取其配置。这次“debUrl”值使用 XOR 算法加密。尽管代码混淆,但使用关键的 “0xaf”加密,却依然可以显示相同的URL。
        从 C2 服务器获得配置后,“TinyV”将会从授予的“debUrl”值中下载 ZIP 文件。这里调查的 ZIP文件被托管在另一个C2 服务器apt[.]appstt.com 上,目前该URL地址出现 404 错误。不过据说在 10 月底开始调查的时候,这个 URL 是可以访问的,并且“deb.zip”文件也可以下载。
        研究人员还发现了一个名为“ClassStaticFunctionHook”的函数,目前该函数只被用于钩住广告的 SDK 代码。然而它有可能在被染的应用中产生更危险的后果。