如 果iOS设备已被越狱,则“破界”恶意代码从PC端向iOS端释放并启动start文件,start文件启动后会上传应用和设备sn信息,启动恶意样本 apps(“破界”恶意代码从PC端安装到iOS设备中的应用),apps启动后加载其包下的lib文件sfbase.dylib,该文件运行后会 hook sendEvent函数,获取电话、短信、浏览器、移动储存挂载、搜索、系统偏好等信息通过POST上传到服务器,其中通信录和短信通过sqlite数据 库获取,还会检测更新样本版本。下图为”破界”恶意代码执行流程。
下表给出了“破界”恶意代码执行流程中的关键元素的对应说明:
1. 解包分析
下面以“中国银行手机银行 2.6.3.rar”为例进行分析。解包后有如下8个文件。其中6个DLL与1个文本文件为正常文件,后缀为.exe文件为恶意文件。
2. 向iOS设备安装分析
l 当系统中未装入iTunes时,双击“中国银行手机银行 2.6.3.exe”时,出现警告提示,当点击“是”,会连接iTunes的官方下载站点:http://www.apple.com/cn/itunes/download/。
· 当系统中安装iTunes时,会有如下安装提示:
· 当接入iOS设备时,会有如下提示:
· 当点击“点击安装”时会进行安装并提示安装完成。
安装完成后在测试设备中无新增应用(正常应用及恶意应用均未安装成功)。测试中将正常版本及越狱版本均进行了测试。测试设备:IPad MINI2 + iOS 7.0.4。
3. 释放文件分析
会在用户的Temp目录下释放出如下两个文件:
Apps.ipa文件在“中国银行手机银行 2.6.3.exe”中的偏移地址为:0xdbb22
third.ipa文件在“中国银行手机银行 2.6.3.exe”中的偏移地址为:0x1FDA00
4. PE文件的代码分析:
释放正常文件(third.ipa)和恶意文件(Apps.ipa)
将恶意文件apps.ipa(“破界”恶意代码)向iOS设备中进行安装。
好文章,需要你的鼓励
智谱AI发布GLM-4大模型;工信部发布《国家人工智能产业综合标准化体系建设指南》(征求意见稿);高通骁龙数字底盘、联想AI PC亮相CES 2024
国家数据局等17部门联合印发《“数据要素x”三年行动计划(2024—2026年)》;小米举办汽车技术发布会。