在这个“deb.zip”文件中,包含了 4 个文件:
safemode.deb(saurik 官方提供的 MobileSafety 插件)
freeDeamo/usr/bin/locka(实施恶意行为的 Mach-O 执行文件)
freeDeamo/Library/LaunchDaemons/com.locka.plist(一个 PLIST 文件,用于在 IOS 作为一个守护进程配置“locka”)
freeDeamo/zipinstall(命令进程文件)
下载和解压这个ZIP文件后,xg.png 将会执行 zipinstall 脚本来安装 locka 和 com.locka.plist。
locka 文件主要执行的“TinyV”恶意行为包括:
连接 C2 服务器来获得远程指令
在后台安装指定的 IPA 文件或 DEB 文件
在后台卸载指定的 IPA 应用或 DEB 包
改变 /etc/hosts 文件
值得一提的是,研究人员还发现了一个名为“ClassStaticFunctionHook”的函数,目前该函数只被用于钩住广告的 SDK 代码。然而它有可能在被感染的应用中产生更危险的后果。
影响
在 12 月 12 日,“TinyV”开始通过一个名为“XZ Helper”的插件来进行传播,许多用户都发现了 XY Helper 插件出现在他们的 IOS 设备中。由于“TinyV”的代码执行和大量的 C2 服务器指令,即使删除了该插件还是会被重新安装。不少用户指出了这个问题,目前受该恶意程序影响的设备似乎只出现在中国。
最后,Palo Alto 建议用户如果没有必要的话切勿轻易越狱,又或者是不要安装任何来自未知来源的企业级应用。
