近期,一款名为“德发圆角 3.0 无根.deb”的微信破解插件在网络上流传,但经用户反馈和技术分析,该插件存在恶意删除聊天记录的行为。这并非插件开发者所为,而是未知开发者在其中植入了恶意代码,属于一次投毒事件。
技术分析
通过对该 .deb 文件的逆向分析,发现其内部包含两个动态库:xxhook.dylib 和 微信圆角.dylib。
- 微信圆角.dylib: 插件本体,本身没有问题。
- xxhook.dylib: 这是一个伪装成其他知名插件的恶意动态库,其中包含大量混淆代码,是导致问题的根源。
恶意代码在启动后会立即执行一个名为 startCleanupProcess 的方法,该方法会调用 removeAllFilesAtPath 等相关函数,清空微信沙盒目录下的文件,从而删除你的所有聊天记录。
核心风险
- 删除聊天记录: 恶意动态库被设计来清除你的微信沙盒文件,导致聊天记录被彻底删除。
- 非越狱环境也存在风险: 即使在非越狱或巨魔(TrollStore)环境中,注入的动态库也拥有删除沙盒目录文件的权限,因此所有用户都面临风险。
安全建议
这已经不是该社区第一次出现安全事件。为了你的数据安全,请务必遵守以下原则:
- 不要安装来历不明的插件。
- 只从可靠、信任的渠道获取和安装软件。
