新型iOS木馬TinyV出現 攻擊越獄裝置

2021-09-23 06:58:20 字數 1719 閱讀 6250

ios 裝置的安全一直為業界所重視,日前企業安全領域領導者 palo alto networks 撰文分析了最近幾個月所發現的新木馬「tinyv」。在今年的 10 月份,palo alto 發現了乙個惡意的負載檔案瞄準了 ios 的越獄裝置,經過調查後發現,palo alto 認為該檔案屬於乙個名為「tinyv」的新型 ios 木馬家族。在 12 月,有中國使用者指出他們的裝置受到了這個惡意軟體的影響。

重新打包和傳播

而在其它受感染的應用中,除了主要的 mach-o 執行檔案外,也會出現一些額外的 mach-o 動態庫檔案:「dj.png」, 「[email protected][email protected]」 。「tinyv」的作者修改了原來的應用檔案,並增加這些動態庫檔案到匯入表中。

被載入的「xg.png」檔案將會通過呼叫方法來連線到 c2 伺服器並取得配置資訊。被 c2 提供的配置將會指向乙個 zip 檔案的 url,並被指定為乙個帶有「zipinstall」值的 「shname」。

在這個被感染的應用中, 「[email protected]」 將會訪問同乙個 c2 伺服器的另乙個頁面來獲取其配置。這次「deburl」值使用 xor 演算法加密。儘管**混淆,但使用關鍵的 「0xaf」加密,卻依然可以顯示相同的 url。

惡意行為

在這個「deb.zip」檔案中,包含了 4 個檔案

safemode.deb(saurik 官方提供的 mobilesafety 外掛程式)

freedeamo/usr/bin/locka(實施惡意行為的 mach-o 執行檔案)

freedeamo/library/launchdaemons/com.locka.plist(乙個 plist 檔案,用於在 ios 作為乙個守護程序配置「locka」)

freedeamo/zipinstall(命令程序檔案)

locka 檔案主要執行的「tinyv」惡意行為包括:

連線 c2 伺服器來獲得遠端指令

在後台安裝指定的 ipa 檔案或 deb 檔案

在後台解除安裝指定的 ipa 應用或 deb 包

改變 /etc/hosts 檔案

值得一提的是,研究人員還發現了乙個名為「classstaticfunctionhook」的函式,目前該函式只被用於鉤住廣告的 sdk **。然而它有可能在被感染的應用中產生更危險的後果。

影響

在 12 月 12 日,「tinyv」開始通過乙個名為「xz helper」的外掛程式來進行傳播,許多使用者都發現了 xy helper 外掛程式出現在他們的 ios 裝置中。由於「tinyv」的**執行和大量的 c2 伺服器指令,即使刪除了該外掛程式還是會被重新安裝。不少使用者在威鋒論壇裡指出了這個問題,目前受該惡意程式影響的裝置似乎只出現在中國。

最後,palo alto 建議使用者如果沒有必要的話切勿輕易越獄,又或者是不要安裝任何來自未知**的企業級應用。

木馬出怪招更改DNS

對於蘋果公司的mac系統而言,目前還沒有幾個能被黑客利用的漏洞。然而目前出現了一種新型木馬osx.rsplug.a,暴露出mac系統為數不多的一處安全缺陷。為mac系統開發安全軟體的intego公司發出警告說,數個色情 上存在這種能夠感染mac os x系統的木馬。根據intego的觀察,使用os ...

Linux新型木馬Ekocms出現,會截圖 錄音

俄羅斯殺軟廠商dr.web近日發現了linux平台新型木馬linux.ekocms.1。目前從截獲的木馬樣本來看,該木馬能夠截圖和錄製音訊檔案,並傳送給遠端伺服器。新型木馬可以截圖作業 該新型木馬linux.ekocms於數日前被發現,linux.ekocms目前主要威脅執行linux系統的計算機使...

新型安卓木馬SpyNote生成器遭洩露

近日,palo alto networks 威脅情報團隊unit42 宣布發現一類新型安卓木馬spynote,該木馬可執行遠端入侵功能,其生成器近日在多個惡意軟體論壇上遭洩露。spynoted與知名的rat remote administration tools,rat 程式omnirat 和 dr...