1. 样本概述
本 次分析以“三国杀 2.2.7.dmg”为例,该dmg文件并非MAC上的应用程序,而是直接调用代码连接iOS设备向其安装app。其文件中包含的app 为:third.ipa。同时,注意到该包中包含一个名为infoplistab的文件,该文件为另外一个app(与“中国银行手机银行 2.6.3.exe”中的Apps.ipa为同一文件,MD5一致)。dmg文件内部结构如下:
2. 向iOS设备安装分析
a) 测试设备为非越狱设备时:
· 当运行“三国杀 2.2.7.dmg”时,出现绿色安装器的一个对话框,选择链接iOS设备进行app的安装。此安装器的制作方为“麦芽地”。
· 点击安装,则向iOS设备安装其资源文件中的third.ipa文件。
· 在非越狱版本中仍然可以安装成功,并且能够正常运行。
测试设备:MAC + 未越狱iPhone4(with iOS 7.1.2)
b) 当设备为已越狱iOS设备时:
· 连接设备,MAC无任何用户操作,界面显示仍需要点击安装。
· 已越狱的iPhone4设备上已被安装名为“应用大全”的应用。
测试设备:MAC + 已越狱iPhone4(with iOS 7.0.6)
3. 释放文件分析
释放的文件中third.ipa为正常应用程序。 而infoplistab为恶意iOS应用(“破界”恶意代码)。其文件结构如下,包含恶意执行代码sfbase.dylib。
4. 关键APP文件的代码分析:
“三国杀 2.2.7.dmg”安装程序会收集设备信息,(判断是否iOS设备已经越狱,若设备已越狱则)将恶意文件infoplistab释放出来,向iOS设备中安装。
1. start文件分析
start 和stty5.11.pl为PC在检测到iOS设备已越狱的情况下,释放到“/usr/local/machook/start”或“/usr/bin /stty5.11.pl” 的文件,属于不同版本的同一样本,内容大部分相同,主要用于上传应用和设备sn信息,加载恶意样本apps。start文件运行时即通过 SpringBoard重载可执行文件,对应Info.plist文件中的CFBundleExecutable,名为apps,而这个apps所代表的 应用程序中包含恶意链接库sfbase.dylib(后续会对其分析);之后,获取并上传应用和设备sn信息。
2. sfbase.dylib文件分析
· start启动apps应用程序后,该应用程序会将其文件中的sfbase.dylib以Cydia插件的形式运行。
· 窃取隐私:sfbase.dylib通过MSHookMessageEx来hook sendEvent函数,用于获取UIWindow相关的数据,电话、短信、浏览器、移动储存挂载、搜索、系统偏好等:
· 通过getPhoneUser将通信录数据库拷贝到tmp临时空间,再通过查询语句获取内容:
· 通过getSMSUser将短信数据库拷贝到tmp临时空间,再通过查询语句获取内容,其中包括了iMessage信息。
· 最后使用getLoaclInfo将获取到的本地信息调用uploadFromFile函数通过POST上传信息,地址为:www.comeinbaby.com/app/saveinfo.php
· 检查更新:sfbase.dylib通过CheckUpdate调用CheckUpdate2检查是否有新版本,下载到临时空间并释放 CheckUpdate2函数会检测样本是否有版本更新,地址为:http://www.comeinbaby.com/app /getversion.php?v=%@&adid=%@,其中参数v值为getCurrentVersion数据,即版本号;参数adid值 为sharedManager+advertisingIdentifier+UUIDString数据;目前该域名已经不可访问。
好文章,需要你的鼓励
最近《Gartner十大战略技术趋势报告(2025)》正式出炉,人工智能众望所归成为焦点,在多个趋势中得到了充分体现。
CIO越来越多地利用云和分析引领数字化变革,尤其是在零售和服务公司,但本质上交叉点是与创收密切相关,在这方面IT优先级也不断提高。
谷歌云(Google Cloud)希望通过推出新的谷歌云人工智能代理生态系统计划,将人工智能代理的销售和客户采用率提升到新的高度,通过新的技术和市场资源帮助合作伙伴建立并共同创新人工智能代理。