[原创]IOS恶意APP简单分析-iOS安全-看雪-安全社区|安全招聘|kanxue.com

[原创]IOS恶意APP简单分析

2014-3-24 19:18 29930

[原创]IOS恶意APP简单分析

火翼[CCG]

2014-3-24 19:18

29930

今天看了下自己手机的/Library/MobileSubstrate/DynamicLibraries/，发现有一个不知道做什么的dylib，名字是spad.dylib, 看上去就很可疑，拉回本地一分析，竟然真的是恶意软件，软件使用MobileSubstrate的框架注入所有有引入com.apple.UIKit的app，然后在app里面寻找第三方广告SDK的类，把广告里面的id修改成恶意软件作者的，这样你使用包含广告的app看广告的时候，钱并没有付给app开发者，而是跑到恶意软件作者的账号里面了。
Hook代码很简单，截几个图吧

Hook YOUMI的广告窗口

替换YOUMI的广告用户ID

Hook其他的，后面还有很多，都是做一样的事情，不一一截图了

样本
IOS_SPAD_样本.zip

分析的很不仔细，朋友们的提醒下补上几个文件
spad_others.zip

/var/sad/sad.adm这个我在设备上没找到，简单看了下代码，逻辑应该是如果存在这个文件，就使用这个文件里的广告id，如果没有就使用默认的

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

Hook_YouMiView.png （22.67kb，272次下载）
Hook_Others.png （19.19kb，127次下载）
replace_youmi_id.png （6.52kb，9次下载）
IOS_SPAD_样本.zip （37.17kb，158次下载）
spad_others.zip （276.53kb，99次下载）
sad_adm_check.png （14.10kb，78次下载）

收藏・23

点赞・1

打赏

最新回复 (38) 1 2 ▶
火翼[CCG] 雪币： 435 活跃值： (172) 能力值： ( LV13，RANK：280 ) 在线值：发帖 26 回帖 252 粉丝 3 关注私信	火翼[CCG] 6 2014-3-24 19:28 2 楼 0 http://bbs.pediy.com/showthread.php?t=183190 这个帖子的lz的调用栈里面也有这个dylib，应该是也中招了，我也想不起来是怎么进来的，可能是在不靠谱的地方下载的deb包里的吧，看文件创建时间是2013年7月3号
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2014-3-24 22:51 3 楼 0 好犀利啊有F5啊! 目测是IDA65啊!土豪....
林肯公园雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	林肯公园 2014-3-25 09:40 4 楼 0 土豪啊！！！化石级的人物出现了！！！
无人区雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	无人区 2014-3-25 09:48 5 楼 0 是YOUMI还是网易的"有你"？有点怕怕的。
Gmxp 雪币： 44 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 30 粉丝 1 关注私信	Gmxp 2 2014-3-25 10:00 6 楼 0 v587
kanxue 雪币： 32403 活跃值： (18860) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 489 关注私信	kanxue 8 2014-3-25 10:04 7 楼 0 劫持己跑到苹果手机上去了
yxhbboy 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 359 粉丝 0 关注私信	yxhbboy 2014-3-25 10:21 8 楼 0 学习了。感谢分享。
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 212 粉丝 0 关注私信	comeon 2014-3-25 11:01 9 楼 0 前来膜拜一下土豪。
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2014-3-25 11:12 10 楼 0 还有这个？以前都没注意啊。
coltor 雪币： 69 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 87 粉丝 0 关注私信	coltor 2 2014-3-25 13:19 11 楼 0 Good Job~,然后膜拜下F5~ 这货劫持的怕不止是有米的AdBanner,粗看了一下,大概有: UMeng,MoGo,weibo,GADBanner,YouMi,DM. 按理说,申请自己的广告ID,应该是需要身份认证和审核的. 把这个ID,一曝光,应该可以追踪到开发者才对~~
chenxiwhy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	chenxiwhy 2014-3-25 13:21 12 楼 0 分析得不错
熊猫正正雪币： 2321 活跃值： (4028) 能力值： ( LV12，RANK：530 ) 在线值：发帖 139 回帖 856 粉丝 127 关注私信	熊猫正正 9 2014-3-25 14:13 13 楼 0 嘿嘿，多谢分享哈
StartAoA 雪币： 71 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 165 粉丝 0 关注私信	StartAoA 2014-3-25 14:38 14 楼 0 为IOS 安全也担忧了。
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 33 回帖 304 粉丝 36 关注私信	Claud 6 2014-3-25 16:22 15 楼 0 adlib列表： - Youmi - Sina Weibo - Vpon - Umeng MobClick - Umeng App Union - AdSaga - MdotM - InMobi - MIX SDK - Domob - AdWhirl - AdsMogo - Google Mobile Ads SDK - AderMob - PolySDK 感染量不完整统计（私人渠道获得，请勿多问）： 1. 设备数量：约7.5万 2. 总激活次数：约2200万 3. 当前日激活次数：约2万最早出现时间可以提早至2013年12月10日：http://webservices.synapticstuff.com/guitartab/crashReport/show/24991 最后，有三个衍生文件楼主能否分享一下？ /usr/lib/.libgad.dylib /var/sad/sad.adm /usr/bin/.sad 谢谢！
我是土匪雪币： 576 活跃值： (1359) 能力值： ( LV12，RANK：210 ) 在线值：发帖 72 回帖 786 粉丝 7 关注私信	我是土匪 4 2014-3-25 17:52 16 楼 0 犀利了。
火翼[CCG] 雪币： 435 活跃值： (172) 能力值： ( LV13，RANK：280 ) 在线值：发帖 26 回帖 252 粉丝 3 关注私信	火翼[CCG] 6 2014-3-25 21:50 17 楼 0 多谢提醒，找到的两个文件已经补上了
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 2014-3-25 22:38 18 楼 0 好吧,我承认这个文件是我写的,大家不用分析了,其实没那么多ad的,很多都没申请到key,关键是admob,不过这货号已经被封了,被几个黄色app搞死了,然后更新渠道没了,现在已经不玩了,快一年的事情了,在这被看到,太荣幸了
hkerstorm 雪币： 12 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	hkerstorm 2014-3-25 23:05 19 楼 0 你的手机 iOS什么版本，是越狱了么？
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 2014-3-25 23:13 20 楼 0 这个东西没啥技术含量,换个key而已,不过还是有个亮点的,有一家sdk(那一家我自己也忘记了,太久了)被换成了admob,sina weibo的ad也被换成了admob的.可惜这个项目被终止了,才刚玩上隐,后面再没过ios了.
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 33 回帖 304 粉丝 36 关注私信	Claud 6 2014-3-25 23:18 21 楼 0 比较好奇，这玩意儿是怎么传播到手机里的……
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 2014-3-25 23:22 22 楼 0 哈哈,这个我就不知道了,我只负责这个插件而已,所以这个插件是非常简单的
hkerstorm 雪币： 12 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	hkerstorm 2014-3-25 23:48 23 楼 0 钱赚了不少吧
RegKiller 雪币： 191 活跃值： (335) 能力值： ( LV9，RANK：450 ) 在线值：发帖 131 回帖 762 粉丝 2 关注私信	RegKiller 10 2014-3-25 23:48 24 楼 0 [QUOTE='火翼[CCG];1270415']今天看了下自己手机的/Library/MobileSubstrate/DynamicLibraries/，发现有一个不知道做什么的dylib，名字是spad.dylib, 看上去就很可疑，拉回本地一分析，竟然真的是恶意软件，软件使用MobileSubstrate的框架注入所有有引入com....[/QUOTE] 犀利的F5 求新版Ida 同求64位全平台版Ida
blankyao 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	blankyao 2014-3-26 00:01 25 楼 0 请教一下，截图里面的代码信息是怎样搞出来的？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

火翼[CCG]

发帖

252

回帖

280

RANK

关注

私信

他的文章

[原创]360一键root工具的自保护机制和彻底清除方法

[原创]Mac OS X and iOS Internals第12章Mach虚拟内存提供vmmap的代码错误

[原创]IDA调试dex代码初体验

关于我们

联系我们

企业服务

看雪公众号

最新回复 (38) 1 2 ▶
火翼[CCG] 雪币： 435 活跃值： (172) 能力值： ( LV13，RANK：280 ) 在线值：发帖 26 回帖 252 粉丝 3 关注私信	火翼[CCG] 6 2014-3-24 19:28 2 楼 0 http://bbs.pediy.com/showthread.php?t=183190 这个帖子的lz的调用栈里面也有这个dylib，应该是也中招了，我也想不起来是怎么进来的，可能是在不靠谱的地方下载的deb包里的吧，看文件创建时间是2013年7月3号
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2014-3-24 22:51 3 楼 0 好犀利啊有F5啊! 目测是IDA65啊!土豪....
林肯公园雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	林肯公园 2014-3-25 09:40 4 楼 0 土豪啊！！！化石级的人物出现了！！！
无人区雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	无人区 2014-3-25 09:48 5 楼 0 是YOUMI还是网易的"有你"？有点怕怕的。
Gmxp 雪币： 44 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 30 粉丝 1 关注私信	Gmxp 2 2014-3-25 10:00 6 楼 0 v587
kanxue 雪币： 32403 活跃值： (18860) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 489 关注私信	kanxue 8 2014-3-25 10:04 7 楼 0 劫持己跑到苹果手机上去了
yxhbboy 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 359 粉丝 0 关注私信	yxhbboy 2014-3-25 10:21 8 楼 0 学习了。感谢分享。
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 212 粉丝 0 关注私信	comeon 2014-3-25 11:01 9 楼 0 前来膜拜一下土豪。
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2014-3-25 11:12 10 楼 0 还有这个？以前都没注意啊。
coltor 雪币： 69 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 87 粉丝 0 关注私信	coltor 2 2014-3-25 13:19 11 楼 0 Good Job~,然后膜拜下F5~ 这货劫持的怕不止是有米的AdBanner,粗看了一下,大概有: UMeng,MoGo,weibo,GADBanner,YouMi,DM. 按理说,申请自己的广告ID,应该是需要身份认证和审核的. 把这个ID,一曝光,应该可以追踪到开发者才对~~
chenxiwhy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	chenxiwhy 2014-3-25 13:21 12 楼 0 分析得不错
熊猫正正雪币： 2321 活跃值： (4028) 能力值： ( LV12，RANK：530 ) 在线值：发帖 139 回帖 856 粉丝 127 关注私信	熊猫正正 9 2014-3-25 14:13 13 楼 0 嘿嘿，多谢分享哈
StartAoA 雪币： 71 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 165 粉丝 0 关注私信	StartAoA 2014-3-25 14:38 14 楼 0 为IOS 安全也担忧了。
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 33 回帖 304 粉丝 36 关注私信	Claud 6 2014-3-25 16:22 15 楼 0 adlib列表： - Youmi - Sina Weibo - Vpon - Umeng MobClick - Umeng App Union - AdSaga - MdotM - InMobi - MIX SDK - Domob - AdWhirl - AdsMogo - Google Mobile Ads SDK - AderMob - PolySDK 感染量不完整统计（私人渠道获得，请勿多问）： 1. 设备数量：约7.5万 2. 总激活次数：约2200万 3. 当前日激活次数：约2万最早出现时间可以提早至2013年12月10日：http://webservices.synapticstuff.com/guitartab/crashReport/show/24991 最后，有三个衍生文件楼主能否分享一下？ /usr/lib/.libgad.dylib /var/sad/sad.adm /usr/bin/.sad 谢谢！
我是土匪雪币： 576 活跃值： (1359) 能力值： ( LV12，RANK：210 ) 在线值：发帖 72 回帖 786 粉丝 7 关注私信	我是土匪 4 2014-3-25 17:52 16 楼 0 犀利了。
火翼[CCG] 雪币： 435 活跃值： (172) 能力值： ( LV13，RANK：280 ) 在线值：发帖 26 回帖 252 粉丝 3 关注私信	火翼[CCG] 6 2014-3-25 21:50 17 楼 0 多谢提醒，找到的两个文件已经补上了
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 2014-3-25 22:38 18 楼 0 好吧,我承认这个文件是我写的,大家不用分析了,其实没那么多ad的,很多都没申请到key,关键是admob,不过这货号已经被封了,被几个黄色app搞死了,然后更新渠道没了,现在已经不玩了,快一年的事情了,在这被看到,太荣幸了
hkerstorm 雪币： 12 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	hkerstorm 2014-3-25 23:05 19 楼 0 你的手机 iOS什么版本，是越狱了么？
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 2014-3-25 23:13 20 楼 0 这个东西没啥技术含量,换个key而已,不过还是有个亮点的,有一家sdk(那一家我自己也忘记了,太久了)被换成了admob,sina weibo的ad也被换成了admob的.可惜这个项目被终止了,才刚玩上隐,后面再没过ios了.
Claud 雪币： 1413 活跃值： (401) 能力值： (RANK：270 ) 在线值：发帖 33 回帖 304 粉丝 36 关注私信	Claud 6 2014-3-25 23:18 21 楼 0 比较好奇，这玩意儿是怎么传播到手机里的……
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 2014-3-25 23:22 22 楼 0 哈哈,这个我就不知道了,我只负责这个插件而已,所以这个插件是非常简单的
hkerstorm 雪币： 12 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	hkerstorm 2014-3-25 23:48 23 楼 0 钱赚了不少吧
RegKiller 雪币： 191 活跃值： (335) 能力值： ( LV9，RANK：450 ) 在线值：发帖 131 回帖 762 粉丝 2 关注私信	RegKiller 10 2014-3-25 23:48 24 楼 0 [QUOTE='火翼[CCG];1270415']今天看了下自己手机的/Library/MobileSubstrate/DynamicLibraries/，发现有一个不知道做什么的dylib，名字是spad.dylib, 看上去就很可疑，拉回本地一分析，竟然真的是恶意软件，软件使用MobileSubstrate的框架注入所有有引入com....[/QUOTE] 犀利的F5 求新版Ida 同求64位全平台版Ida
blankyao 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	blankyao 2014-3-26 00:01 25 楼 0 请教一下，截图里面的代码信息是怎样搞出来的？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复