“破界”（WIRELURKER）综合分析报告

4 “破界”恶意代码分析

4.1 “破界”恶意代码从PC端安装的执行流程

如 果iOS设备已被越狱，则“破界”恶意代码从PC端向iOS端释放并启动start文件，start文件启动后会上传应用和设备sn信息，启动恶意样本 apps(“破界”恶意代码从PC端安装到iOS设备中的应用)，apps启动后加载其包下的lib文件sfbase.dylib，该文件运行后会 hook sendEvent函数，获取电话、短信、浏览器、移动储存挂载、搜索、系统偏好等信息通过POST上传到服务器，其中通信录和短信通过sqlite数据 库获取，还会检测更新样本版本。下图为”破界”恶意代码执行流程。

下表给出了“破界”恶意代码执行流程中的关键元素的对应说明：

4.2 Windows平台的“破界”样本分析

1. 解包分析

下面以“中国银行手机银行 2.6.3.rar”为例进行分析。解包后有如下8个文件。其中6个DLL与1个文本文件为正常文件，后缀为.exe文件为恶意文件。

2. 向iOS设备安装分析

l 当系统中未装入iTunes时，双击“中国银行手机银行 2.6.3.exe”时，出现警告提示，当点击“是”，会连接iTunes的官方下载站点:http://www.apple.com/cn/itunes/download/。

· 当系统中安装iTunes时，会有如下安装提示：

· 当接入iOS设备时，会有如下提示：

· 当点击“点击安装”时会进行安装并提示安装完成。

安装完成后在测试设备中无新增应用(正常应用及恶意应用均未安装成功)。测试中将正常版本及越狱版本均进行了测试。测试设备：IPad MINI2 + iOS 7.0.4。

3. 释放文件分析

会在用户的Temp目录下释放出如下两个文件：

Apps.ipa文件在“中国银行手机银行 2.6.3.exe”中的偏移地址为：0xdbb22

third.ipa文件在“中国银行手机银行 2.6.3.exe”中的偏移地址为：0x1FDA00

4. PE文件的代码分析：

释放正常文件(third.ipa)和恶意文件(Apps.ipa)

将恶意文件apps.ipa(“破界”恶意代码)向iOS设备中进行安装。