新型iOS木马TinyV出现专门针对越狱设备

发表时间：2020-05-19 12:11:36 作者： 来源： 浏览：次

在上一篇文章中，小编为您详细介绍了关于《《轩辕剑龙舞云山》全新副本剑胆琴心即将开启》相关知识。本篇中小编将再为您讲解标题新型iOS木马TinyV出现专门针对越狱设备。

最近，新型iOS木马TinyV出现了，这个主要是一些app中植入了一些垃圾广告导致，那么下面就和当下小编一起来看看这个木马的来历吧！ PaloAltoNetworks公司的安全研究人员在今年10月份发现了该木马文件，当时其实发现了一个恶意的负载文件瞄准了iOS的越狱设备，并发现该文件属于一个名为“TinyV”的新型iOS木马家族。最近，有中国用户指出他们的设备受到了这个恶意软件的影响。目前该公司发现这个木马只是针对越狱的iOS设备，该恶意木马文件已经被重新打包并植入到一些iOS应用中，而这些iOS应用往往可以通过多个第三方渠道进行下载。 PaloAltoNetworks公司在研究过程中发现木马文件捆绑在合法的应用程序中，然后通过第三方的网站，诱导用户下载。

用户有可能通过第三方网站下载到这些受感染的应用，用户在iOS设备上访问这些网站的下载链接的时候会被跳转到描述文件页面并让用户安装，这些应用往往需要用户手动开启验证，才可以在设备上使用该应用。同时PaloAltoNetworks公司建议用户不要在苹果官方应用商店之外的第三方网站下载应用，还有尽可能的避免越狱iOS设备。TinyV“重新打包的方式和之前着名的WireLurker也不一样。其实存在着两个执行文件。

如果在某个受感染的播放器应用的iOS安装文件”com.某某。ipa“中一个是主要的执行文件Mach-O，而另一个则是名为”xg.png“的Mach-O动态库文件。在主要执行文件的导入表中，最后的导入入口是”@executable_path/xg.png“。这意味着在应用被执行后，”xg.png“的文件将会被加载。

而在其它受感染的应用中，除了主要的Mach-O执行文件外，也会出现一些额外的Mach-O动态库文件即”dj.png“，”macro_off@2x.png和zippo_on@2x.png“。 ”TinyV“的作者修改了原来的应用文件，并增加这些动态库文件到导入表中。被加载的”xg.png“文件将会通过调用方法来连接到服务器并取得配置信息，服务器提供的配置信息将会指向一个ZIP文件的URL。从C2服务器获得配置后，”TinyV“将会获取权限并从”debUrl“值中下载ZIP文件。

这里调查的ZIP文件被托管在另一个C2服务器apt[.]appstt.com上，目前该URL地址出现404错误。不过据PaloAltoNetworks公司调查在10月底开始调查的时候，这个URL是可以访问的，并且”deb.zip“文件也可以下载。在这个”deb.zip“文件中，包含了4个文件： safemode.deb（saurik官方提供的MobileSafety插件） freeDeamo/usr/bin/locka（实施恶意行为的Mach-O执行文件） freeDeamo/Library/LaunchDaemons/com.locka.plist（一个PLIST文件，用于在iOS作为一个守护进程配置”locka“） freeDeamo/zipinstall（命令进程文件）下载和解压这个ZIP文件后，xg.png将会执行zipinstall脚本来安装locka和com.locka.plist。目前该木马主要针对的是越狱的iOS设备，同时报道中指出用户在安装和选择第三方应用时需要保持注意。

编后语：关于《新型iOS木马TinyV出现专门针对越狱设备》关于知识就介绍到这里，希望本站内容能让您有所收获，如有疑问可跟帖留言，值班小编第一时间回复。下一篇内容是有关《轻小说「俺妹！」绫濑if下册将于6月10日发售。》，感兴趣的同学可以点击进去看看。

资源转载网络，如有侵权联系删除。