最近暗影平安实验室发现了一款主要针对韩国用户的IOS恶意程序,该病毒的主要行为是安装启动后读取用户手机通讯录信息并上传到指定服务器,具有隐私窃取行为。
样本信息
文件名称:9b24219f0504bf1aed074b9ab1ed73ec.ipa
文件MD5:9B24219F0504BF1AED074B9AB1ED73EC
安装名称:VelVet
行为及代码剖析
该APP运行后显示登录界面,输入数据后点击号码认证,APP会请求通讯录权限。
图1-1 请求通讯录权限
随后APP获取用户通讯录信息并上传至服务器:
http://redvios.com:8085/JYSystem/restInt/collect/postData。
图1-2 上传数据包
用户点击号码认证后,恶意程序首先举行网络判断,判断用户装备是否毗邻网络。
图1-3 判断是否连网
然后检测应用程序是否具有通讯录权限。
,,欢迎进入Allbet开户(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。
图1-4 检测应用是否具有通讯录权限
当同时具备网络流通,并获取了读取通讯录权限后,读取用户装备通讯录信息。
图1-5 读取用户通讯录信息
对读取的数据举行json格式化,同时传入要上传的服务器地址。
图1-6 对数据举行格式化
传入的url拼接上服务器地址http://redvios.com:8085/就是完整的url地址:
http://redvios.com:8085/JYSystem/restInt/collect/postData。
图1-7 毗邻服务器
使用post方式提交数据。
图1-8 提交数据
平安建议
· 用户安装所需软件,建议去正规的应用市场下载、去官方下载。
· 在手机当中安装需要的平安软件,并保持平安软件更新。