VelVet病毒分析报告—针对韩国用户的IOS应用

阅读量213194

发布时间 : 2021-01-04 10:30:45

 

最近暗影安全实验室发现了一款主要针对韩国用户的IOS恶意程序,该病毒的主要行为是安装启动后读取用户手机通讯录信息并上传到指定服务器,具有隐私窃取行为。

 

样本信息

文件名称:9b24219f0504bf1aed074b9ab1ed73ec.ipa

文件MD5:9B24219F0504BF1AED074B9AB1ED73EC

安装名称:VelVet

 

行为及代码分析

该APP运行后显示登录界面,输入数据后点击号码认证,APP会请求通讯录权限。

图1-1 请求通讯录权限

随后APP获取用户通讯录信息并上传至服务器:

http://redvios.com:8085/JYSystem/restInt/collect/postData。

图1-2 上传数据包

用户点击号码认证后,恶意程序首先进行网络判断,判断用户设备是否连接网络。

图1-3 判断是否连网

然后检测应用程序是否具有通讯录权限。

图1-4 检测应用是否具有通讯录权限

当同时具备网络畅通,并获取了读取通讯录权限后,读取用户设备通讯录信息。

图1-5 读取用户通讯录信息

对读取的数据进行json格式化,同时传入要上传的服务器地址。

图1-6 对数据进行格式化

传入的url拼接上服务器地址http://redvios.com:8085/就是完整的url地址:

http://redvios.com:8085/JYSystem/restInt/collect/postData。

图1-7 连接服务器

使用post方式提交数据。

图1-8 提交数据

 

安全建议

  1. 用户安装所需软件,建议去正规的应用市场下载、去官方下载。
  2. 在手机当中安装必要的安全软件,并保持安全软件更新。
  3. ​关注“暗影安全实验室”微信公众号,我们将持续关注安全事件。

本文由暗影安全实验室原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/227123

安全客 - 有思想的安全新媒体

分享到:微信
+11赞
收藏
暗影安全实验室
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66