[原创]IOS恶意APP简单分析-iOS安全-看雪-安全社区|安全招聘|kanxue.com

[原创]IOS恶意APP简单分析

发表于: 2014-3-24 19:18 30612

[原创]IOS恶意APP简单分析

火翼[CCG]

2014-3-24 19:18

30612

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

Hook_YouMiView.png （22.67kb，272次下载）
Hook_Others.png （19.19kb，127次下载）
replace_youmi_id.png （6.52kb，9次下载）
IOS_SPAD_样本.zip （37.17kb，158次下载）
spad_others.zip （276.53kb，99次下载）
sad_adm_check.png （14.10kb，78次下载）

收藏・23

免费・5

支持

最新回复 (38) 1 2 ▶
火翼[CCG] 雪币： 435 活跃值： (172) 能力值： ( LV13，RANK：280 ) 在线值：发帖 26 回帖 252 粉丝 4 关注私信	火翼[CCG] 6 2 楼 http://bbs.pediy.com/showthread.php?t=183190 这个帖子的lz的调用栈里面也有这个dylib，应该是也中招了，我也想不起来是怎么进来的，可能是在不靠谱的地方下载的deb包里的吧，看文件创建时间是2013年7月3号 2014-3-24 19:28 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 3 楼好犀利啊有F5啊! 目测是IDA65啊!土豪.... 2014-3-24 22:51 0
林肯公园雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	林肯公园 4 楼土豪啊！！！化石级的人物出现了！！！ 2014-3-25 09:40 0
无人区雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	无人区 5 楼是YOUMI还是网易的"有你"？有点怕怕的。 2014-3-25 09:48 0
Gmxp 雪币： 44 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 30 粉丝 1 关注私信	Gmxp 2 6 楼 v587 2014-3-25 10:00 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 7 楼劫持己跑到苹果手机上去了 2014-3-25 10:04 0
yxhbboy 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 347 粉丝 0 关注私信	yxhbboy 8 楼学习了。感谢分享。 2014-3-25 10:21 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 9 楼前来膜拜一下土豪。 2014-3-25 11:01 0
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 10 楼还有这个？以前都没注意啊。 2014-3-25 11:12 0
coltor 雪币： 69 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	coltor 2 11 楼 Good Job~,然后膜拜下F5~ 这货劫持的怕不止是有米的AdBanner,粗看了一下,大概有: UMeng,MoGo,weibo,GADBanner,YouMi,DM. 按理说,申请自己的广告ID,应该是需要身份认证和审核的. 把这个ID,一曝光,应该可以追踪到开发者才对~~ 2014-3-25 13:19 0
chenxiwhy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	chenxiwhy 12 楼分析得不错 2014-3-25 13:21 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 13 楼嘿嘿，多谢分享哈 2014-3-25 14:13 0
StartAoA 雪币： 71 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 163 粉丝 0 关注私信	StartAoA 14 楼为IOS 安全也担忧了。 2014-3-25 14:38 0
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 34 回帖 278 粉丝 43 关注私信	Claud 6 15 楼 adlib列表： - Youmi - Sina Weibo - Vpon - Umeng MobClick - Umeng App Union - AdSaga - MdotM - InMobi - MIX SDK - Domob - AdWhirl - AdsMogo - Google Mobile Ads SDK - AderMob - PolySDK 感染量不完整统计（私人渠道获得，请勿多问）： 1. 设备数量：约7.5万 2. 总激活次数：约2200万 3. 当前日激活次数：约2万最早出现时间可以提早至2013年12月10日：http://webservices.synapticstuff.com/guitartab/crashReport/show/24991 最后，有三个衍生文件楼主能否分享一下？ /usr/lib/.libgad.dylib /var/sad/sad.adm /usr/bin/.sad 谢谢！ 2014-3-25 16:22 0
我是土匪雪币： 546 活跃值： (1657) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 16 楼犀利了。 2014-3-25 17:52 0
火翼[CCG] 雪币： 435 活跃值： (172) 能力值： ( LV13，RANK：280 ) 在线值：发帖 26 回帖 252 粉丝 4 关注私信	火翼[CCG] 6 17 楼多谢提醒，找到的两个文件已经补上了 2014-3-25 21:50 0
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 18 楼好吧,我承认这个文件是我写的,大家不用分析了,其实没那么多ad的,很多都没申请到key,关键是admob,不过这货号已经被封了,被几个黄色app搞死了,然后更新渠道没了,现在已经不玩了,快一年的事情了,在这被看到,太荣幸了 2014-3-25 22:38 0
hkerstorm 雪币： 12 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 30 粉丝 0 关注私信	hkerstorm 19 楼你的手机 iOS什么版本，是越狱了么？ 2014-3-25 23:05 0
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 20 楼这个东西没啥技术含量,换个key而已,不过还是有个亮点的,有一家sdk(那一家我自己也忘记了,太久了)被换成了admob,sina weibo的ad也被换成了admob的.可惜这个项目被终止了,才刚玩上隐,后面再没过ios了. 2014-3-25 23:13 0
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 34 回帖 278 粉丝 43 关注私信	Claud 6 21 楼比较好奇，这玩意儿是怎么传播到手机里的…… 2014-3-25 23:18 0
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 22 楼哈哈,这个我就不知道了,我只负责这个插件而已,所以这个插件是非常简单的 2014-3-25 23:22 0
hkerstorm 雪币： 12 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 30 粉丝 0 关注私信	hkerstorm 23 楼钱赚了不少吧 2014-3-25 23:48 0
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 24 楼 [QUOTE='火翼[CCG];1270415']今天看了下自己手机的/Library/MobileSubstrate/DynamicLibraries/，发现有一个不知道做什么的dylib，名字是spad.dylib, 看上去就很可疑，拉回本地一分析，竟然真的是恶意软件，软件使用MobileSubstrate的框架注入所有有引入com....[/QUOTE] 犀利的F5 求新版Ida 同求64位全平台版Ida 2014-3-25 23:48 0
blankyao 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	blankyao 25 楼请教一下，截图里面的代码信息是怎样搞出来的？ 2014-3-26 00:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

火翼[CCG]

发帖

252

回帖

280

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (38) 1 2 ▶
火翼[CCG] 雪币： 435 活跃值： (172) 能力值： ( LV13，RANK：280 ) 在线值：发帖 26 回帖 252 粉丝 4 关注私信	火翼[CCG] 6 2 楼 http://bbs.pediy.com/showthread.php?t=183190 这个帖子的lz的调用栈里面也有这个dylib，应该是也中招了，我也想不起来是怎么进来的，可能是在不靠谱的地方下载的deb包里的吧，看文件创建时间是2013年7月3号 2014-3-24 19:28 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 3 楼好犀利啊有F5啊! 目测是IDA65啊!土豪.... 2014-3-24 22:51 0
林肯公园雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	林肯公园 4 楼土豪啊！！！化石级的人物出现了！！！ 2014-3-25 09:40 0
无人区雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	无人区 5 楼是YOUMI还是网易的"有你"？有点怕怕的。 2014-3-25 09:48 0
Gmxp 雪币： 44 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 30 粉丝 1 关注私信	Gmxp 2 6 楼 v587 2014-3-25 10:00 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 7 楼劫持己跑到苹果手机上去了 2014-3-25 10:04 0
yxhbboy 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 347 粉丝 0 关注私信	yxhbboy 8 楼学习了。感谢分享。 2014-3-25 10:21 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 9 楼前来膜拜一下土豪。 2014-3-25 11:01 0
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 10 楼还有这个？以前都没注意啊。 2014-3-25 11:12 0
coltor 雪币： 69 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	coltor 2 11 楼 Good Job~,然后膜拜下F5~ 这货劫持的怕不止是有米的AdBanner,粗看了一下,大概有: UMeng,MoGo,weibo,GADBanner,YouMi,DM. 按理说,申请自己的广告ID,应该是需要身份认证和审核的. 把这个ID,一曝光,应该可以追踪到开发者才对~~ 2014-3-25 13:19 0
chenxiwhy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	chenxiwhy 12 楼分析得不错 2014-3-25 13:21 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 13 楼嘿嘿，多谢分享哈 2014-3-25 14:13 0
StartAoA 雪币： 71 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 163 粉丝 0 关注私信	StartAoA 14 楼为IOS 安全也担忧了。 2014-3-25 14:38 0
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 34 回帖 278 粉丝 43 关注私信	Claud 6 15 楼 adlib列表： - Youmi - Sina Weibo - Vpon - Umeng MobClick - Umeng App Union - AdSaga - MdotM - InMobi - MIX SDK - Domob - AdWhirl - AdsMogo - Google Mobile Ads SDK - AderMob - PolySDK 感染量不完整统计（私人渠道获得，请勿多问）： 1. 设备数量：约7.5万 2. 总激活次数：约2200万 3. 当前日激活次数：约2万最早出现时间可以提早至2013年12月10日：http://webservices.synapticstuff.com/guitartab/crashReport/show/24991 最后，有三个衍生文件楼主能否分享一下？ /usr/lib/.libgad.dylib /var/sad/sad.adm /usr/bin/.sad 谢谢！ 2014-3-25 16:22 0
我是土匪雪币： 546 活跃值： (1657) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 16 楼犀利了。 2014-3-25 17:52 0
火翼[CCG] 雪币： 435 活跃值： (172) 能力值： ( LV13，RANK：280 ) 在线值：发帖 26 回帖 252 粉丝 4 关注私信	火翼[CCG] 6 17 楼多谢提醒，找到的两个文件已经补上了 2014-3-25 21:50 0
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 18 楼好吧,我承认这个文件是我写的,大家不用分析了,其实没那么多ad的,很多都没申请到key,关键是admob,不过这货号已经被封了,被几个黄色app搞死了,然后更新渠道没了,现在已经不玩了,快一年的事情了,在这被看到,太荣幸了 2014-3-25 22:38 0
hkerstorm 雪币： 12 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 30 粉丝 0 关注私信	hkerstorm 19 楼你的手机 iOS什么版本，是越狱了么？ 2014-3-25 23:05 0
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 20 楼这个东西没啥技术含量,换个key而已,不过还是有个亮点的,有一家sdk(那一家我自己也忘记了,太久了)被换成了admob,sina weibo的ad也被换成了admob的.可惜这个项目被终止了,才刚玩上隐,后面再没过ios了. 2014-3-25 23:13 0
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 34 回帖 278 粉丝 43 关注私信	Claud 6 21 楼比较好奇，这玩意儿是怎么传播到手机里的…… 2014-3-25 23:18 0
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 22 楼哈哈,这个我就不知道了,我只负责这个插件而已,所以这个插件是非常简单的 2014-3-25 23:22 0
hkerstorm 雪币： 12 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 30 粉丝 0 关注私信	hkerstorm 23 楼钱赚了不少吧 2014-3-25 23:48 0
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 24 楼 [QUOTE='火翼[CCG];1270415']今天看了下自己手机的/Library/MobileSubstrate/DynamicLibraries/，发现有一个不知道做什么的dylib，名字是spad.dylib, 看上去就很可疑，拉回本地一分析，竟然真的是恶意软件，软件使用MobileSubstrate的框架注入所有有引入com....[/QUOTE] 犀利的F5 求新版Ida 同求64位全平台版Ida 2014-3-25 23:48 0
blankyao 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	blankyao 25 楼请教一下，截图里面的代码信息是怎样搞出来的？ 2014-3-26 00:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复