1. 样本概述
本 次分析以“三国杀 2.2.7.dmg”为例,该dmg文件并非MAC上的应用程序,而是直接调用代码连接iOS设备向其安装app。其文件中包含的app 为:third.ipa。同时,注意到该包中包含一个名为infoplistab的文件,该文件为另外一个app(与“中国银行手机银行 2.6.3.exe”中的Apps.ipa为同一文件,MD5一致)。dmg文件内部结构如下:
2. 向iOS设备安装分析
a) 测试设备为非越狱设备时:
· 当运行“三国杀 2.2.7.dmg”时,出现绿色安装器的一个对话框,选择链接iOS设备进行app的安装。此安装器的制作方为“麦芽地”。
· 点击安装,则向iOS设备安装其资源文件中的third.ipa文件。
· 在非越狱版本中仍然可以安装成功,并且能够正常运行。
测试设备:MAC + 未越狱iPhone4(with iOS 7.1.2)
b) 当设备为已越狱iOS设备时:
· 连接设备,MAC无任何用户操作,界面显示仍需要点击安装。
· 已越狱的iPhone4设备上已被安装名为“应用大全”的应用。
测试设备:MAC + 已越狱iPhone4(with iOS 7.0.6)
3. 释放文件分析
释放的文件中third.ipa为正常应用程序。 而infoplistab为恶意iOS应用(“破界”恶意代码)。其文件结构如下,包含恶意执行代码sfbase.dylib。
4. 关键APP文件的代码分析:
“三国杀 2.2.7.dmg”安装程序会收集设备信息,(判断是否iOS设备已经越狱,若设备已越狱则)将恶意文件infoplistab释放出来,向iOS设备中安装。
1. start文件分析
start 和stty5.11.pl为PC在检测到iOS设备已越狱的情况下,释放到“/usr/local/machook/start”或“/usr/bin /stty5.11.pl” 的文件,属于不同版本的同一样本,内容大部分相同,主要用于上传应用和设备sn信息,加载恶意样本apps。start文件运行时即通过 SpringBoard重载可执行文件,对应Info.plist文件中的CFBundleExecutable,名为apps,而这个apps所代表的 应用程序中包含恶意链接库sfbase.dylib(后续会对其分析);之后,获取并上传应用和设备sn信息。
2. sfbase.dylib文件分析
· start启动apps应用程序后,该应用程序会将其文件中的sfbase.dylib以Cydia插件的形式运行。
· 窃取隐私:sfbase.dylib通过MSHookMessageEx来hook sendEvent函数,用于获取UIWindow相关的数据,电话、短信、浏览器、移动储存挂载、搜索、系统偏好等:
· 通过getPhoneUser将通信录数据库拷贝到tmp临时空间,再通过查询语句获取内容:
· 通过getSMSUser将短信数据库拷贝到tmp临时空间,再通过查询语句获取内容,其中包括了iMessage信息。
· 最后使用getLoaclInfo将获取到的本地信息调用uploadFromFile函数通过POST上传信息,地址为:www.comeinbaby.com/app/saveinfo.php
· 检查更新:sfbase.dylib通过CheckUpdate调用CheckUpdate2检查是否有新版本,下载到临时空间并释放 CheckUpdate2函数会检测样本是否有版本更新,地址为:http://www.comeinbaby.com/app /getversion.php?v=%@&adid=%@,其中参数v值为getCurrentVersion数据,即版本号;参数adid值 为sharedManager+advertisingIdentifier+UUIDString数据;目前该域名已经不可访问。
好文章,需要你的鼓励
亚马逊在生成式AI爆发初期便敏锐意识到了人工智能培训的重要性,2023年宣布启动“AI就绪(AI Ready)”计划,通过系统化的人才培养架构,不仅着眼解决当下企业AI应用的人才缺口,更为全球数字经济发展构建了AI人才储备体系。
OpenAI 宣布将于今年晚些时候发布自 GPT-2 后首个开源语言模型,由研究副总裁 Aidan Clark 领导,预计初夏推出。该模型针对高端消费硬件,可灵活启用推理功能,并采用宽松许可证和严格安全评估,此举旨在应对 DeepSeek、Meta 等开源对手的竞争。
Ocient成功融资4210万美元,加速研发基于NVMe SSD与计算近接存储架构的绿色、低成本大数据与 AI 分析解决方案。
联想推出了21款全新存储产品(含液冷HCI系统),帮助企业快速构建AI基础设施,推动IT现代化、提高数据管理效率、降低能耗,并满足多种企业级AI与数据更新需求。