手機
手機 手機資訊 手機新聞 越獄設(shè)備小心 新型iOS木馬TinyV出現(xiàn)
手機大全
12月 17

越獄設(shè)備小心 新型iOS木馬TinyV出現(xiàn)

編輯:匿名 來源:威鋒網(wǎng)
放大 縮小 打印 郵件 收藏本頁 游吧論壇

在這個“deb.zip”文件中,包含了 4 個文件:

safemode.deb(saurik 官方提供的 MobileSafety 插件)

freeDeamo/usr/bin/locka(實施惡意行為的 Mach-O 執(zhí)行文件)

freeDeamo/Library/LaunchDaemons/com.locka.plist(一個 PLIST 文件,用于在 IOS 作為一個守護進程配置“l(fā)ocka”)

freeDeamo/zipinstall(命令進程文件)

下載和解壓這個ZIP文件后,xg.png 將會執(zhí)行 zipinstall 腳本來安裝 locka 和 com.locka.plist。

locka 文件主要執(zhí)行的“TinyV”惡意行為包括:

連接 C2 服務(wù)器來獲得遠程指令

在后臺安裝指定的 IPA 文件或 DEB 文件

在后臺卸載指定的 IPA 應(yīng)用或 DEB 包

改變 /etc/hosts 文件

值得一提的是,研究人員還發(fā)現(xiàn)了一個名為“ClassStaticFunctionHook”的函數(shù),目前該函數(shù)只被用于鉤住廣告的 SDK 代碼。然而它有可能在被感染的應(yīng)用中產(chǎn)生更危險的后果。

影響

在 12 月 12 日,“TinyV”開始通過一個名為“XZ Helper”的插件來進行傳播,許多用戶都發(fā)現(xiàn)了 XY Helper 插件出現(xiàn)在他們的 IOS 設(shè)備中。由于“TinyV”的代碼執(zhí)行和大量的 C2 服務(wù)器指令,即使刪除了該插件還是會被重新安裝。不少用戶指出了這個問題,目前受該惡意程序影響的設(shè)備似乎只出現(xiàn)在中國。

最后,Palo Alto 建議用戶如果沒有必要的話切勿輕易越獄,又或者是不要安裝任何來自未知來源的企業(yè)級應(yīng)用。

打印 郵件 收藏本頁 幫肋
推薦閱讀
相關(guān)閱讀