近日,网络安全公司Palo Alto Networks公司的安全研究人员Claud Xiao发布了一篇内容为分析新木马“TinyV”的文章。
安全公司Palo Alto Networks在10月发现该木马
Palo Alto Networks公司的安全研究人员在今年10月份发现了该木马文件,当时其实发现了一个恶意的负载文件瞄准了 iOS 的越狱设备,并发现该文件属于一个名为“TinyV”的新型 iOS 木马家族。最近,有中国用户指出他们的设备受到了这个恶意软件的影响。目前该公司发现这个木马只是针对越狱的iOS设备,该恶意木马文件已经被重新打包并植入到一些 iOS 应用中,而这些 iOS 应用往往可以通过多个第三方渠道进行下载。
Palo Alto Networks公司发现研究过程
Palo Alto Networks公司在研究过程中发现木马文件捆绑在合法的应用程序中,然后通过第三方的网站,诱导用户下载。用户有可能通过第三方网站下载到这些受感染的应用,用户在 iOS 设备上访问这些网站的下载链接的时候会被跳转到描述文件页面并让用户安装,这些应用往往需要用户手动开启验证,才可以在设备上使用该应用。
同时Palo Alto Networks公司建议用户不要在苹果官方应用商店之外的第三方网站下载应用,还有尽可能的避免越狱iOS设备。TinyV”重新打包的方式和之前著名的 WireLurker 也不一样。其实存在着两个执行文件。如果在某个受感染的播放器应用的 iOS 安装文件“com.某某.ipa”中一个是主要的执行文件 Mach-O ,而另一个则是名为“xg.png”的 Mach-O 动态库文件。在主要执行文件的导入表中,最后的导入入口是“@executable_path/xg.png”。这意味着在应用被执行后,“xg.png”的文件将会被加载。而在其它受感染的应用中,除了主要的 Mach-O 执行文件外,也会出现一些额外的 Mach-O 动态库文件即“dj.png”, “macro_off@2x.png和zippo_on@2x.png” 。
“TinyV”的作者修改了原来的应用文件,并增加这些动态库文件到导入表中。被加载的“xg.png”文件将会通过调用方法来连接到 服务器并取得配置信息,服务器提供的配置信息将会指向一个 ZIP 文件的URL。
从 C2 服务器获得配置后,“TinyV”将会获取权限并从“debUrl” 值中下载 ZIP 文件。这里调查的ZIP文件被托管在另一个 C2 服务器apt[.]appstt.com 上,目前该 URL 地址出现 404 错误。不过据Palo Alto Networks公司调查在 10 月底开始调查的时候,这个 URL 是可以访问的,并且“deb.zip”文件也可以下载。
在这个“deb.zip”文件中,包含了 4 个文件:
safemode.deb(saurik 官方提供的 MobileSafety 插件)
freeDeamo/usr/bin/locka(实施恶意行为的 Mach-O 执行文件)
freeDeamo/Library/LaunchDaemons/com.locka.plist(一个 PLIST 文件,用于在 iOS 作为一个守护进程配置“locka”)
freeDeamo/zipinstall(命令进程文件)
下载和解压这个ZIP文件后,xg.png 将会执行 zipinstall 脚本来安装 locka 和 com.locka.plist。
目前该木马主要针对的是越狱的iOS设备,同时报道中指出用户在安装和选择第三方应用时需要保持注意。
Palo Alto Networks公司详细报告(作者:Claud Xiao)(点击我)