最近暗影安全实验室发现了一款主要针对韩国用户的iOS恶意程序,该病毒的主要行为是安装启动后读取用户手机通讯录信息并上传到指定服务器,具有隐私窃取行为。
样本信息
文件名称:9b24219f0504bf1aed074b9ab1ed73ec.ipa 文件MD5:9B24219F0504BF1AED074B9AB1ED73EC 安装名称:VelVet
行为及代码分析
该APP运行后显示登录界面,输入数据后点击号码认证,APP会请求通讯录权限。
图1-1 请求通讯录权限
随后APP获取用户通讯录信息并上传至服务器:
http://redvios.com:8085/JYSystem/restInt/collect/postData。
图1-2 上传数据包
用户点击号码认证后,恶意程序首先进行网络判断,判断用户设备是否连接网络。
图1-3 判断是否连网
然后检测应用程序是否具有通讯录权限。
图1-4 检测应用是否具有通讯录权限
当同时具备网络畅通,并获取了读取通讯录权限后,读取用户设备通讯录信息。
图1-5 读取用户通讯录信息
对读取的数据进行json格式化,同时传入要上传的服务器地址。
图1-6 对数据进行格式化
传入的url拼接上服务器地址http://redvios.com:8085/就是完整的url地址:
http://redvios.com:8085/JYSystem/restInt/collect/postData
图1-7 连接服务器
使用post方式提交数据。
图1-8 提交数据
安全建议
- 用户安装所需软件,建议去正规的应用市场下载、去官方下载。
- 在手机当中安装必要的安全软件,并保持安全软件更新。