需要指出的是,“TinyV”重新打包的方式和之前的 IOS 或者 OSX 惡意應(yīng)用不太一樣(和之前著名的 WireLurker 也不一樣)。例如在某個(gè)受感染的播放器應(yīng)用的 IOS 安裝文件“com.某某.ipa”中,往往存在著兩個(gè)執(zhí)行文件。一個(gè)是主要的執(zhí)行文件 Mach-O ,而另一個(gè)則是名為“xg.png”的 Mach-O 動(dòng)態(tài)庫(kù)文件。在主要執(zhí)行文件的導(dǎo)入表中,最后的導(dǎo)入入口是“@executable_path/xg.png”。這意味著在應(yīng)用被執(zhí)行后,“xg.png”的文件將會(huì)被加載。
而在其它受感染的應(yīng)用中,除了主要的 Mach-O 執(zhí)行文件外,也會(huì)出現(xiàn)一些額外的 Mach-O 動(dòng)態(tài)庫(kù)文件:“dj.png”, “macro_off@2x.png和zippo_on@2x.png” ?!癟inyV”的作者修改了原來(lái)的應(yīng)用文件,并增加這些動(dòng)態(tài)庫(kù)文件到導(dǎo)入表中。
被加載的“xg.png”文件將會(huì)通過調(diào)用方法來(lái)連接到 C2 服務(wù)器并取得配置信息。被 C2 提供的配置將會(huì)指向一個(gè) ZIP 文件的 URL,并被指定為一個(gè)帶有“zipinstall”值的 “shName”。
在這個(gè)被感染的應(yīng)用中, “macro_off@2x.png” 將會(huì)訪問同一個(gè) C2 服務(wù)器的另一個(gè)頁(yè)面來(lái)獲取其配置。這次“debUrl”值使用 XOR 算法加密。盡管代碼混淆,但使用關(guān)鍵的 “0xaf”加密,卻依然可以顯示相同的 URL。
惡意行為
從 C2 服務(wù)器獲得配置后,“TinyV”將會(huì)從授予的“debUrl” 值中下載 ZIP 文件。這里調(diào)查的 ZI P文件被托管在另一個(gè) C2 服務(wù)器apt[.]appstt.com 上,目前該 URL 地址出現(xiàn) 404 錯(cuò)誤。不過據(jù)說在 10 月底開始調(diào)查的時(shí)候,這個(gè) URL 是可以訪問的,并且“deb.zip”文件也可以下載。