近日，網絡安全公司Palo Alto Networks公司的安全研究人員Claud Xiao發布了一篇內容為分析新木馬“TinyV”的文章。

[[159848]]

安全公司Palo Alto Networks在10月發現該木馬

Palo Alto Networks公司的安全研究人員在今年10月份發現了該木馬文件，當時其實發現了一個惡意的負載文件瞄準了 iOS 的越獄設備，并發現該文件屬于一個名為“TinyV”的新型 iOS 木馬家族。最近，有中國用戶指出他們的設備受到了這個惡意軟件的影響。目前該公司發現這個木馬只是針對越獄的iOS設備，該惡意木馬文件已經被重新打包并植入到一些 iOS 應用中，而這些 iOS 應用往往可以通過多個第三方渠道進行下載。

Palo Alto Networks公司發現研究過程

Palo Alto Networks公司在研究過程中發現木馬文件捆綁在合法的應用程序中，然后通過第三方的網站，誘導用戶下載。用戶有可能通過第三方網站下載到這些受感染的應用，用戶在 iOS 設備上訪問這些網站的下載鏈接的時候會被跳轉到描述文件頁面并讓用戶安裝，這些應用往往需要用戶手動開啟驗證，才可以在設備上使用該應用。

同時Palo Alto Networks公司建議用戶不要在蘋果官方應用商店之外的第三方網站下載應用，還有盡可能的避免越獄iOS設備。TinyV”重新打包的方式和之前著名的 WireLurker 也不一樣。其實存在著兩個執行文件。如果在某個受感染的播放器應用的 iOS 安裝文件“com.某某.ipa”中一個是主要的執行文件 Mach-O ，而另一個則是名為“xg.png”的 Mach-O 動態庫文件。在主要執行文件的導入表中，最后的導入入口是“@executable_path/xg.png”。這意味著在應用被執行后，“xg.png”的文件將會被加載。而在其它受感染的應用中，除了主要的 Mach-O 執行文件外，也會出現一些額外的 Mach-O 動態庫文件即“dj.png”, “macro_off@2x.png和zippo_on@2x.png” 。

“TinyV”的作者修改了原來的應用文件，并增加這些動態庫文件到導入表中。被加載的“xg.png”文件將會通過調用方法來連接到 服務器并取得配置信息，服務器提供的配置信息將會指向一個 ZIP 文件的URL。

從 C2 服務器獲得配置后，“TinyV”將會獲取權限并從“debUrl” 值中下載 ZIP 文件。這里調查的ZIP文件被托管在另一個 C2 服務器apt[.]appstt.com 上，目前該 URL 地址出現 404 錯誤。不過據Palo Alto Networks公司調查在 10 月底開始調查的時候，這個 URL 是可以訪問的，并且“deb.zip”文件也可以下載。

在這個“deb.zip”文件中，包含了 4 個文件：

safemode.deb(saurik 官方提供的 MobileSafety 插件)

freeDeamo/usr/bin/locka(實施惡意行為的 Mach-O 執行文件)

freeDeamo/Library/LaunchDaemons/com.locka.plist(一個 PLIST 文件，用于在 iOS 作為一個守護進程配置“locka”)

freeDeamo/zipinstall(命令進程文件)

下載和解壓這個ZIP文件后，xg.png 將會執行 zipinstall 腳本來安裝 locka 和 com.locka.plist。

目前該木馬主要針對的是越獄的iOS設備，同時報道中指出用戶在安裝和選擇第三方應用時需要保持注意。

Palo Alto Networks公司詳細報告(作者：Claud Xiao)(點擊我)