IOS 設(shè)備的安全一直為業(yè)界所重視,日前企業(yè)安全領(lǐng)域領(lǐng)導(dǎo)者 Palo Alto Networks 撰文分析了最近幾個月所發(fā)現(xiàn)的新木馬“TinyV”。在今年的 10 月份,Palo Alto 發(fā)現(xiàn)了一個惡意的負(fù)載文件瞄準(zhǔn)了 IOS 的越獄設(shè)備,經(jīng)過調(diào)查后發(fā)現(xiàn),Palo Alto 認(rèn)為該文件屬于一個名為“TinyV”的新型 IOS 木馬家族。在 12 月,有中國用戶指出他們的設(shè)備受到了這個惡意軟件的影響。
經(jīng)過進(jìn)一步的深入研究后,Palo Alto 發(fā)現(xiàn)該惡意文件已經(jīng)被重新打包并植入到一些 IOS 應(yīng)用中,而這些 IOS 應(yīng)用往往可以通過多個渠道進(jìn)行下載(非 App Store 渠道)。在接下來的篇幅里,我們將會討論“TinyV”是如何工作以及如何傳播的。
重新打包和傳播
“TinyV”被重新打包進(jìn)一些為越獄設(shè)備而“準(zhǔn)備”的應(yīng)用中,受影響的 IOS 應(yīng)用不少。經(jīng)過重新打包后,這些應(yīng)用被上傳到網(wǎng)絡(luò)并提供用戶下載。
用戶有可能通過 xx 助手下載到這些受感染的應(yīng)用,在一些應(yīng)用的官網(wǎng)上供下載的應(yīng)用,也不見得是十分安全。我們往往在 IOS 設(shè)備上訪問這些網(wǎng)站的下載鏈接的時候會被跳轉(zhuǎn)到描述文件頁面并讓用戶安裝,這些被標(biāo)榜為企業(yè)級應(yīng)用的應(yīng)用往往需要用戶手動開啟驗(yàn)證,才可以在設(shè)備上使用該應(yīng)用。
