最近暗影安全实验室发现了一款主要针对韩国用户的IOS恶意程序，该病毒的主要行为是安装启动后读取用户手机通讯录信息并上传到指定服务器，具有隐私窃取行为。

样本信息

文件名称：9b24219f0504bf1aed074b9ab1ed73ec.ipa

文件MD5：9B24219F0504BF1AED074B9AB1ED73EC

安装名称：VelVet

行为及代码分析

该APP运行后显示登录界面，输入数据后点击号码认证，APP会请求通讯录权限。

图1-1 请求通讯录权限 

随后APP获取用户通讯录信息并上传至服务器：

http://redvios.com:8085/JYSystem/restInt/collect/postData。 

图1-2 上传数据包

用户点击号码认证后，恶意程序首先进行网络判断，判断用户设备是否连接网络。

图1-3 判断是否连网

然后检测应用程序是否具有通讯录权限。

图1-4 检测应用是否具有通讯录权限

当同时具备网络畅通，并获取了读取通讯录权限后，读取用户设备通讯录信息。 

图1-5 读取用户通讯录信息

图1-6 对数据进行格式化

 图1-7 连接服务器

使用post方式提交数据。

图1-8 提交数据

安全建议

•  用户安装所需软件，建议去正规的应用市场下载、去官方下载。

• 在手机当中安装必要的安全软件，并保持安全软件更新。

• 关注“暗影安全实验室”微信公众号，我们将持续关注安全事件。

本文始发于微信公众号（暗影安全实验室）：VelVet病毒分析报告—针对韩国用户的IOS应用