越獄設備小心 新型iOS木馬TinyV出現

在這個“deb.zip”文件中，包含了 4 個文件：

safemode.deb（saurik 官方提供的 MobileSafety 插件）

freeDeamo/usr/bin/locka（實施惡意行為的 Mach-O 執行文件）

freeDeamo/Library/LaunchDaemons/com.locka.plist（一個 PLIST 文件，用于在 IOS 作為一個守護進程配置“locka”）

freeDeamo/zipinstall（命令進程文件）

下載和解壓這個ZIP文件后，xg.png 將會執行 zipinstall 腳本來安裝 locka 和 com.locka.plist。

locka 文件主要執行的“TinyV”惡意行為包括：

連接 C2 服務器來獲得遠程指令

在后臺安裝指定的 IPA 文件或 DEB 文件

在后臺卸載指定的 IPA 應用或 DEB 包

改變 /etc/hosts 文件

值得一提的是，研究人員還發現了一個名為“ClassStaticFunctionHook”的函數，目前該函數只被用于鉤住廣告的 SDK 代碼。然而它有可能在被感染的應用中產生更危險的后果。

影響

在 12 月 12 日，“TinyV”開始通過一個名為“XZ Helper”的插件來進行傳播，許多用戶都發現了 XY Helper 插件出現在他們的 IOS 設備中。由于“TinyV”的代碼執行和大量的 C2 服務器指令，即使刪除了該插件還是會被重新安裝。不少用戶指出了這個問題，目前受該惡意程序影響的設備似乎只出現在中國。

最后，Palo Alto 建議用戶如果沒有必要的話切勿輕易越獄，又或者是不要安裝任何來自未知來源的企業級應用。