VelVet病毒分析报告:针对韩国用户的iOS应用

admin 2021年1月20日00:00:50评论58 views字数 727阅读2分25秒阅读模式

最近暗影安全实验室发现了一款主要针对韩国用户的iOS恶意程序,该病毒的主要行为是安装启动后读取用户手机通讯录信息并上传到指定服务器,具有隐私窃取行为。

样本信息

文件名称:9b24219f0504bf1aed074b9ab1ed73ec.ipa

文件MD5:9B24219F0504BF1AED074B9AB1ED73EC

安装名称:VelVet

行为及代码分析

该APP运行后显示登录界面,输入数据后点击号码认证,APP会请求通讯录权限。

VelVet病毒分析报告:针对韩国用户的iOS应用

图1-1 请求通讯录权限

随后APP获取用户通讯录信息并上传至服务器:

http://redvios.com:8085/JYSystem/restInt/collect/postData。VelVet病毒分析报告:针对韩国用户的iOS应用

图1-2 上传数据包

用户点击号码认证后,恶意程序首先进行网络判断,判断用户设备是否连接网络。

VelVet病毒分析报告:针对韩国用户的iOS应用

图1-3 判断是否连网

然后检测应用程序是否具有通讯录权限。

VelVet病毒分析报告:针对韩国用户的iOS应用

图1-4 检测应用是否具有通讯录权限

当同时具备网络畅通,并获取了读取通讯录权限后,读取用户设备通讯录信息。

VelVet病毒分析报告:针对韩国用户的iOS应用

图1-5 读取用户通讯录信息

对读取的数据进行json格式化,同时传入要上传的服务器地址。VelVet病毒分析报告:针对韩国用户的iOS应用

图1-6 对数据进行格式化

传入的url拼接上服务器地址http://redvios.com:8085/就是完整的url地址:

http://redvios.com:8085/JYSystem/restInt/collect/postDataVelVet病毒分析报告:针对韩国用户的iOS应用

图1-7 连接服务器

使用post方式提交数据。VelVet病毒分析报告:针对韩国用户的iOS应用

图1-8 提交数据

安全建议

  • 用户安装所需软件,建议去正规的应用市场下载、去官方下载。

  • 在手机当中安装必要的安全软件,并保持安全软件更新。

VelVet病毒分析报告:针对韩国用户的iOS应用

精彩推荐





VelVet病毒分析报告:针对韩国用户的iOS应用
VelVet病毒分析报告:针对韩国用户的iOS应用VelVet病毒分析报告:针对韩国用户的iOS应用


VelVet病毒分析报告:针对韩国用户的iOS应用

VelVet病毒分析报告:针对韩国用户的iOS应用

VelVet病毒分析报告:针对韩国用户的iOS应用

VelVet病毒分析报告:针对韩国用户的iOS应用

本文始发于微信公众号(FreeBuf):VelVet病毒分析报告:针对韩国用户的iOS应用

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年1月20日00:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   VelVet病毒分析报告:针对韩国用户的iOS应用http://cn-sec.com/archives/245355.html

发表评论

匿名网友 填写信息