首页
社区
课程
招聘
[原创]IOS恶意APP简单分析
发表于: 2014-3-24 19:18 30611

[原创]IOS恶意APP简单分析

2014-3-24 19:18
30611

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 5
支持
分享
最新回复 (38)
雪    币: 435
活跃值: (172)
能力值: ( LV13,RANK:280 )
在线值:
发帖
回帖
粉丝
2
http://bbs.pediy.com/showthread.php?t=183190
这个帖子的lz的调用栈里面也有这个dylib,应该是也中招了,我也想不起来是怎么进来的,可能是在不靠谱的地方下载的deb包里的吧,看文件创建时间是2013年7月3号
2014-3-24 19:28
0
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
3
好犀利啊  有F5啊! 目测是IDA65啊!土豪....
2014-3-24 22:51
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
土豪啊!!!

化石级的人物出现了!!!
2014-3-25 09:40
0
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
是YOUMI还是网易的"有你"?有点怕怕的。
2014-3-25 09:48
0
雪    币: 44
活跃值: (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
6
v587
2014-3-25 10:00
0
雪    币: 47147
活跃值: (20450)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
7
劫持己跑到苹果手机上去了
2014-3-25 10:04
0
雪    币: 70
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
学习了。感谢分享。
2014-3-25 10:21
0
雪    币: 326
活跃值: (41)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
前来膜拜一下土豪。
2014-3-25 11:01
0
雪    币: 131
活跃值: (98)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
10
还有这个?以前都没注意啊。
2014-3-25 11:12
0
雪    币: 69
活跃值: (41)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
11
Good Job~,然后膜拜下F5~
这货劫持的怕不止是有米的AdBanner,粗看了一下,大概有:
UMeng,MoGo,weibo,GADBanner,YouMi,DM.

按理说,申请自己的广告ID,应该是需要身份认证和审核的.
把这个ID,一曝光,应该可以追踪到开发者才对~~
2014-3-25 13:19
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
分析得不错
2014-3-25 13:21
0
雪    币: 2323
活跃值: (4113)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
13
嘿嘿,多谢分享哈
2014-3-25 14:13
0
雪    币: 71
活跃值: (58)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
为IOS 安全也担忧了。
2014-3-25 14:38
0
雪    币: 1413
活跃值: (401)
能力值: (RANK:270 )
在线值:
发帖
回帖
粉丝
15
adlib列表:
- Youmi
- Sina Weibo
- Vpon
- Umeng MobClick
- Umeng App Union
- AdSaga
- MdotM
- InMobi
- MIX SDK
- Domob
- AdWhirl
- AdsMogo
- Google Mobile Ads SDK
- AderMob
- PolySDK

感染量不完整统计(私人渠道获得,请勿多问):
1. 设备数量:约7.5万
2. 总激活次数:约2200万
3. 当前日激活次数:约2万

最早出现时间可以提早至2013年12月10日:http://webservices.synapticstuff.com/guitartab/crashReport/show/24991

最后,有三个衍生文件楼主能否分享一下?
/usr/lib/.libgad.dylib
/var/sad/sad.adm
/usr/bin/.sad
谢谢!
2014-3-25 16:22
0
雪    币: 546
活跃值: (1657)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
16
犀利了。
2014-3-25 17:52
0
雪    币: 435
活跃值: (172)
能力值: ( LV13,RANK:280 )
在线值:
发帖
回帖
粉丝
17
多谢提醒,找到的两个文件已经补上了
2014-3-25 21:50
0
雪    币: 189
活跃值: (192)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
18
好吧,我承认这个文件是我写的,大家不用分析了,其实没那么多ad的,很多都没申请到key,关键是admob,不过这货号已经被封了,被几个黄色app搞死了,然后更新渠道没了,现在已经不玩了,快一年的事情了,在这被看到,太荣幸了
2014-3-25 22:38
0
雪    币: 12
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
你的手机 iOS什么版本,是越狱了么?
2014-3-25 23:05
0
雪    币: 189
活跃值: (192)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
20
这个东西没啥技术含量,换个key而已,不过还是有个亮点的,有一家sdk(那一家我自己也忘记了,太久了)被换成了admob,sina weibo的ad也被换成了admob的.可惜这个项目被终止了,才刚玩上隐,后面再没过ios了.
2014-3-25 23:13
0
雪    币: 1413
活跃值: (401)
能力值: (RANK:270 )
在线值:
发帖
回帖
粉丝
21
比较好奇,这玩意儿是怎么传播到手机里的……
2014-3-25 23:18
0
雪    币: 189
活跃值: (192)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
22
哈哈,这个我就不知道了,我只负责这个插件而已,所以这个插件是非常简单的
2014-3-25 23:22
0
雪    币: 12
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
钱赚了不少吧
2014-3-25 23:48
0
雪    币: 191
活跃值: (345)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
24
[QUOTE='火翼[CCG];1270415']今天看了下自己手机的/Library/MobileSubstrate/DynamicLibraries/,发现有一个不知道做什么的dylib,名字是spad.dylib, 看上去就很可疑,拉回本地一分析,竟然真的是恶意软件,软件使用MobileSubstrate的框架注入所有有引入com....[/QUOTE]

犀利的F5 求新版Ida 同求64位 全平台版Ida
2014-3-25 23:48
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
请教一下,截图里面的代码信息是怎样搞出来的?
2014-3-26 00:01
0
游客
登录 | 注册 方可回帖
返回
//