iOS 設備的安全一直為業(yè)界所重視，日前企業(yè)安全領域領導者Palo Alto Networks 撰文分析了最近幾個月所發(fā)現(xiàn)的新木馬“TinyV”。在今年的10 月份，Palo Alto 發(fā)現(xiàn)了一個惡意的負載文件瞄準了iOS 的越獄設備，經過調查后發(fā)現(xiàn)，Palo Alto 認為該文件屬于一個名為“TinyV”的新型iOS 木馬家族。在12 月，有中國用戶指出他們的設備受到了這個惡意軟件的影響。　　

經過進一步的深入研究后，Palo Alto 發(fā)現(xiàn)該惡意文件已經被重新打包并植入到一些iOS 應用中，而這些iOS 應用往往可以通過多個渠道進行下載（非App Store 渠道）。在接下來的篇幅里，我們將會討論“TinyV”是如何工作以及如何傳播的。

重新打包和傳播

“TinyV”被重新打包進一些為越獄設備而“準備”的應用中，受影響的iOS 應用不少。經過重新打包后，這些應用被上傳到網絡并提供用戶下載。

用戶有可能通過xx 助手下載到這些受感染的應用，在一些應用的官網上供下載的應用，也不見得是十分安全。我們往往在iOS 設備上訪問這些網站的下載鏈接的時候會被跳轉到描述文件頁面并讓用戶安裝，這些被標榜為企業(yè)級應用的應用往往需要用戶手動開啟驗證，才可以在設備上使用該應用。

　　用戶有可能通過xx 助手下載受感染的應用

需要指出的是，“TinyV”重新打包的方式和之前的iOS 或者OSX 惡意應用不太一樣（和之前著名的WireLurker 也不一樣）。例如在某個受感染的播放器應用的iOS 安裝文件“com.某某.ipa”中，往往存在著兩個執(zhí)行文件。一個是主要的執(zhí)行文件Mach-O ，而另一個則是名為“xg.png”的Mach-O 動態(tài)庫文件。在主要執(zhí)行文件的導入表中，最后的導入入口是“@executable_path/xg.png”。這意味著在應用被執(zhí)行后，“xg.png”的文件將會被加載。

而在其它受感染的應用中，除了主要的Mach-O 執(zhí)行文件外，也會出現(xiàn)一些額外的Mach-O 動態(tài)庫文件：“dj.png”, “[email protected]和[email protected]” 。“TinyV”的作者修改了原來的應用文件，并增加這些動態(tài)庫文件到導入表中。

被加載的“xg.png”文件將會通過調用方法來連接到C2 服務器并取得配置信息。被C2 提供的配置將會指向一個ZIP 文件的URL，并被指定為一個帶有“zipinstall”值的“shName”。

　　指向一個ZIP 文件的URL

在這個被感染的應用中， “[email protected]” 將會訪問同一個C2 服務器的另一個頁面來獲取其配置。這次“debUrl”值使用XOR 算法加密。盡管代碼混淆，但使用關鍵的“0xaf”加密，卻依然可以顯示相同的URL。

惡意行為

從C2 服務器獲得配置后，“TinyV”將會從授予的“debUrl” 值中下載ZIP 文件。這里調查的ZI P文件被托管在另一個C2 服務器apt[.]appstt.com 上，目前該URL 地址出現(xiàn)404 錯誤。不過據(jù)說在10 月底開始調查的時候，這個URL 是可以訪問的，并且“deb.zip”文件也可以下載。

在這個“deb.zip”文件中，包含了4 個文件

safemode.deb（saurik 官方提供的MobileSafety 插件）

freeDeamo/usr/bin/locka（實施惡意行為的Mach-O 執(zhí)行文件）

freeDeamo/Library/LaunchDaemons/com.locka.plist（一個PLIST 文件，用于在iOS 作為一個守護進程配置“locka”）

freeDeamo/zipinstall（命令進程文件）

下載和解壓這個ZIP文件后，xg.png 將會執(zhí)行zipinstall 腳本來安裝locka 和com.locka.plist。

locka 文件主要執(zhí)行的“TinyV”惡意行為包括：

連接C2 服務器來獲得遠程指令

在后臺安裝指定的IPA 文件或DEB 文件

在后臺卸載指定的IPA 應用或DEB 包

改變/etc/hosts 文件

值得一提的是，研究人員還發(fā)現(xiàn)了一個名為“ClassStaticFunctionHook”的函數(shù)，目前該函數(shù)只被用于鉤住廣告的SDK 代碼。然而它有可能在被感染的應用中產生更危險的后果。

　　影響

在12 月12 日，“TinyV”開始通過一個名為“XZ Helper”的插件來進行傳播，許多用戶都發(fā)現(xiàn)了XY Helper 插件出現(xiàn)在他們的iOS 設備中。由于“TinyV”的代碼執(zhí)行和大量的C2 服務器指令，即使刪除了該插件還是會被重新安裝。不少用戶在威鋒論壇里指出了這個問題，目前受該惡意程序影響的設備似乎只出現(xiàn)在中國。

最后，Palo Alto 建議用戶如果沒有必要的話切勿輕易越獄，又或者是不要安裝任何來自未知來源的企業(yè)級應用。