您当前位置:首页 > 资讯中心 > 信息安全

新型iOS木马TinyV出现 专门针对越狱设备

近日,网络安全公司Palo Alto Networks公司的安全研究人员Claud Xiao发布了一篇内容为分析新木马“TinyV”的文章。

安全公司Palo Alto Networks在10月发现该木马

Palo Alto Networks公司的安全研究人员在今年10月份发现了该木马文件,当时其实发现了一个恶意的负载文件瞄准了 iOS 的越狱设备,并发现该文件属于一个名为“TinyV”的新型 iOS 木马家族。较近,有中国用户指出他们的设备受到了这个恶意软件的影响。目前该公司发现这个木马只是针对越狱的iOS设备,该恶意木马文件已经被重新打包并植入到一些 iOS 应用中,而这些 iOS 应用往往可以通过多个第三方渠道进行下载。

Palo Alto Networks公司发现研究过程

Palo Alto Networks公司在研究过程中发现木马文件捆绑在合法的应用程序中,然后通过第三方的网站,诱导用户下载。用户有可能通过第三方网站下载到这些受感染的应用,用户在 iOS 设备上访问这些网站的下载链接的时候会被跳转到描述文件页面并让用户安装,这些应用往往需要用户手动开启验证,才可以在设备上使用该应用。

同时Palo Alto Networks公司建议用户不要在苹果官方应用商店之外的第三方网站下载应用,还有尽可能的避免越狱iOS设备。TinyV”重新打包的方式和之前著名的 WireLurker 也不一样。其实存在着两个执行文件。如果在某个受感染的播放器应用的 iOS 安装文件“com.某某.ipa”中一个是主要的执行文件 Mach-O ,而另一个则是名为“xg.png”的 Mach-O 动态库文件。在主要执行文件的导入表中,较后的导入入口是“@executable_path/xg.png”。这意味着在应用被执行后,“xg.png”的文件将会被加载。而在其它受感染的应用中,除了主要的 Mach-O 执行文件外,也会出现一些额外的 Mach-O 动态库文件即“dj.png”, “macro_off@2x.png和zippo_on@2x.png” 。

“TinyV”的作者修改了原来的应用文件,并增加这些动态库文件到导入表中。被加载的“xg.png”文件将会通过调用方法来连接到 服务器并取得配置信息,服务器提供的配置信息将会指向一个 ZIP 文件的URL。

从 C2 服务器获得配置后,“TinyV”将会获取权限并从“debUrl” 值中下载 ZIP 文件。这里调查的ZIP文件被托管在另一个 C2 服务器apt[.]appstt.com 上,目前该 URL 地址出现 404 错误。不过据Palo Alto Networks公司调查在 10 月底开始调查的时候,这个 URL 是可以访问的,并且“deb.zip”文件也可以下载。

在这个“deb.zip”文件中,包含了 4 个文件:

safemode.deb(saurik 官方提供的 MobileSafety 插件)

freeDeamo/usr/bin/locka(实施恶意行为的 Mach-O 执行文件)

freeDeamo/Library/LaunchDaemons/com.locka.plist(一个 PLIST 文件,用于在 iOS 作为一个守护进程配置“locka”)

freeDeamo/zipinstall(命令进程文件)

下载和解压这个ZIP文件后,xg.png 将会执行 zipinstall 脚本来安装 locka 和 com.locka.plist。

目前该木马主要针对的是越狱的iOS设备,同时报道中指出用户在安装和选择第三方应用时需要保持注意。

Palo Alto Networks公司详细报告(作者:Claud Xiao)()

【编辑推荐】

作者:grabsun - 发布时间:2015-12-23 - 点击量:2883
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们