Aplikacja z niespodzianką

Jest wiele serwisów, które za kilka dolarów oferują nam pirackie aplikacje. Pobierając pirackie aplikacje dostajemy je jednak z niespodzianką. Warto ryzykować? Zaraz się przekonamy!

Nigdy nie będziemy pewni, co cracker dodał do aplikacji. Mogą to być reklamy, a innym razem może być to keylogger. Najlepiej jest zdobywać aplikacje wprost od deweloperów.

Tak naprawdę jest wielu użytkowników, którzy nie aktualizują swoich urządzeń, przez co otwierają się na liczne ataki. Dzisiaj pokażemy, w jaki sposób stajemy się ofiarami korzystając z piraconych aplikacji.

Jakiś czas temu pojawił się ciekawy wpis na stronie VirusTotal:

guiinject

Jest to wirus który dodaje do naszej aplikacji irytujące reklamy. Jest on zawarty w spiraconej aplikacji Mail Time Pro.

com.mailtime.MailTimePro-clutch2.ipa

Po zdobyciu naszego pliku możemy zauważyć w nazwie słowo clutch.

Clutch jest narzędziem do piracenia aplikacji zainstalowanych na naszym iPhonie i jest on tylko dostępny po uprzednim Jailbreak'u urządzenia. Po otworzeniu pliku .ipa, znajdujemy pliki wykonawcze oraz kilka bibliotek współdzielonych których nie powinno tam być.

jailbreak: Mach-O universal binary with 2 architectures
jailbreak (for architecture armv7): Mach-O dynamically linked shared library arm
jailbreak (for architecture arm64): Mach-O 64-bit dynamically linked shared library
MailTime Pro: Mach-O universal binary with 2 architectures
MailTime Pro (for architecture armv7): Mach-O executable arm
MailTime Pro (for architecture arm64): Mach-O 64-bit executable

Używając polecenia codesign, możemy zauważyć ze te biblioteki zostały skompilowane przez Nguygen'a Tat Hung'a. Niestety nie jest on developerem aplikacji Mail Time Pro.

$ codesign -dvv "MailTime Pro" 2>&1 | grep Authority
Authority=iPhone Developer: nguyen tat hung (T99T9WYY54)
Authority=Apple Worldwide Developer Relations Certification Authority
Authority=Apple Root CA
$ codesign -dvv jailbreak 2>&1 | grep Authority
Authority=iPhone Developer: nguyen tat hung (T99T9WYY54)
Authority=Apple Worldwide Developer Relations Certification Authority
Authority=Apple Root CA

Idąc dalej, odkrywamy że biblioteki zostają zaimportowane do plików wykonywalnych.

$ otool -arch arm64 -L "MailTime Pro"
@executable_path/jailbreak (compatibility version 0.0.0, current version 0.0.0)

Dzięki komendzie assert() jesteśmy w stanie zobaczyć co znajduje się w owych bibliotekach:

Advertisement SDKs
- Carrot
- Facebook Audience Network
- Google AdMob
- StartApp
Cocoa Pods
- FileMD5Hash
- MBProgressHUD
- SSZipArchive

Przy użyciu tych bibliotek jest pobierany framework.

{ "show_ads": "YES",
"show_message": "YES",
"update_message_not": "",
"update_link": "http://google.com",
"linkfw": "http://****************/DailyUploadDownloadLib.framework.zip",
"namefw": "DailyUploadDownloadLib.framework",
"md5fw": "f6a51b479516f11ce503ae06f9ffff0f",
"script_zip": "http://*********************/lib/filehost.scr.zip",
"script_file": "filehost.scr",
"md5_script": "a9ef52dc75ecbcfce9447237f5154417"
}

Tak oto wygląda nasz pobrany framework:

Framework po rozpakowaniu

Po udanym załadowaniu go do aplikacji prosi on usługę lib o reklamy do wyświetlenia. Framework ten co jakiś czas sprawdza nasz adres IP używając DynDNS.

Przykładowe aplikacje zainfekowane przez nasz wirus:

ipa_jb DailyUploads/com.infinear.call-clutch2.ipa
ipa_jb DailyUploads/com.axidep.polyglotvoicereader-clutch2.ipa
ipa_jb DailyUploads/com.contrast.mileagelog-clutch2.ipa
ipa_jb DailyUploads/com.kymatica.AUFX-Space-clutch2.ipa
ipa_jb DailyUploads/co.qapps.calcpro-clutch2.ipa
ipa_jb DailyUploads/com.pixiapps.ecoutemobile-clutch2.ipa
ipa_jb DailyUploads/com.jhnd.blender-clutch2.ipa
ipa_jb DailyUploads/com.jackadam.darksky-rc.ipa
ipa_jb DailyUploads/com.markelsoft.Text2Speech-clutch2.ipa
ipa_jb DailyUploads/com.giacomoballi.FindTower-clutch2.ipa
ipa_jb DailyUploads/com.venderbase.dd-wrt-clutch2.ipa
ipa_jb DailyUploads/com.vincenzoaccardi.itracking-clutch2.ipa
ipa_jb DailyUploads/com.realvnc.VNCViewer-clutch2.ipa
ipa_jb DailyUploads/com.yacreader.yacreader-clutch2.ipa
ipa_jb DailyUploads/com.plumamazing.iWatermark-clutch2.ipa

W tym przypadku mieliśmy do czynienia tylko z irytującymi reklamami ale kto wie co nas czeka za rogiem? Wspomagajmy developerów.

Źródło

Komentarze 29

Just Be. Tomasz Bugajski 2016-11-15

bardzo ciekawy artykuł. Może JB zwiększa funkcjonalność ale uważam, że niesie to ze sobą duże niebezpieczeństwo. A developer tez człowiek :-) ja osobiście nie korzystam z pirackiego oprogramowania. Może dlatego, że od jakiegoś czasu programuje na win i OS X i wiem ze trzeba się napracować by cos wyszło :-) ale art bardzo konkretny:-)

Zobacz wszystkie 3 odpowiedzi Ukryj odpowiedzi

Tomasz Kaczmarzyk Just Be. Tomasz Bugajski 2016-11-15

Przez kilka lat mialem JB i od ios 9 / 10 powiem szczerze ze nie widzę potrzeby robienia JB. Jedynie co brakuje to 3D Touch ale da się życ. Oj tak, co chwile jest jakiś problem. raz jakiś spam chiśski, raz co innego. Największy problem to było chyba wtedy gdy ludzie zmieniali kolor bootscreenu i im mieszało komendy w nvramie. Ciesze się że artykuł się podobał :)

Yurek90 Tomasz Kaczmarzyk 2016-11-16

A ja tam lubie mieć klasyczne ikonki ;)

Xenosage Tomasz Kaczmarzyk 2016-11-16

Jedyne czego mi brakuje to równie dobry call recorder co dostępny w Cydii Super Recorder. I nie, nie mówcie o Tapeacall, bo to nie to samo ;-)

koh 2016-11-16

Hmmm... Androida nie trzeba w ogóle JB-kować :)

Wystarczyło 60 sekund z Google Pixel żeby się utwierdzić że koło bezpieczeństwa on nawet nie stał :/

http://www.bgr.in/news/google-pixel-hacked-in-under-60-seconds-at-pwnfest-2016/

Zobacz wszystkie 3 odpowiedzi Ukryj odpowiedzi

macand koh 2016-11-16

To ci nowość :D

Ale aktualizacja już jest :D Było też coś że najnowsza wersja przeglądarki Safari dla systemu Sierra OS została złamana w ciągu zaledwie 20 sekund. Ale co tam ;)

koh macand 2016-11-16

Ale systemu nie udało im się złamać

macand koh 2016-11-16

Wiedziałem, zawsze jest jakieś ale :D

Shrek 2016-11-16

Nie zrozumiem tego nigdy, kupując telefon za 3-4 tys zł, kraść aplikację za 4zł graniczy z absurdem, narażając się na wirusy, możliwość kradzieży danych, kasy z konta, nie pojmę tego za nic, jak głupim trzeba być. Nie mówimy tutaj o samym JB, żeby sobie trochę życie ułatwić, w kilku kwestiach ale już samo złodziejstwo prawie darmowych apek, to jest niezrozumiałe.

Zobacz wszystkie 20 odpowiedzi Ukryj odpowiedzi

Janusz MB Shrek 2016-11-16

Kupując macbooka za 10 tys. zł i nie instalując adBlockera i nie usuwając Adobe Flash można złapać wirusa w przeglądarce.

miqui Shrek 2016-11-16

Ano widzisz, tak to już jest z ludźmi. Największy lament ostatnio - jak kupią MBP za 14 tys. i iPhona za 4 tys. to będzie wielki problem z kupnem kabelka za 99zł... Albo zamiast oryginalnej przejściówki za 99zł wolą chińską za 30 i narzekają, że coś nie działa. Albo płaczą, że do MBP za 14 tys. będą musieli kupić przejściówkę do myszki NA KABLU za 60 zł. Ja nie wiem - może oni wszyscy dostają te sprzęty od kogoś? Co za mentalność...

Jacek Zięba Shrek 2016-11-16

Narażając się przede wszystkim na jedno – bycie złodziejem i utratę honoru przez brak poszanowania do cudzej pracy.

Jacek Zięba Janusz MB 2016-11-16

A co ma AdBlock do wirusów? :P Gdyby każdy miał AdBlocka, to MyApple już by dawno nie istniało, także zachęcam do wyłączenia. Ja korzystam z Ghostery - mam zablokowane wszystkie trackery i inne niebezpieczeństwa. Reklamy zostawiam włączone - w ten sposób płacę za artykuły, które czytam w internecie.

Janusz MB Jacek Zięba 2016-11-16

Kiedy korzystam z VPN na amerykańskich stronach mam reklamy które przyjemnie oglądać.

Kiedy nie mam VPN serwery lokalizują Polskę i te same strony wciskają mi pożyczki chwilówki, klej do protez, suplementy diety na menopauzę, maść na nadżeki i inne specjalności polskiej internetowej reklamy .

Wiem że serwisy nie mają wpływu na to jaka reklama zostanie u nich wyświetlona w miejscu reklamowych.

Kiedy czytam artykuły o wyborach w USA udając Amerykanina dostaję jedną wysmakowaną reklamę dobrego zegarka.

Ten sam materiał z polskiego IP rzuca drobnicą reklamową, jedym wyskakującym pop-upem i małym modułem śmieciowym ale z dźwiękiem i animacją.

AdBlock albo VPN dla zdrowia i estetyki.

Reklamy regionalizowane wciskają co się da, także czasem jakieś "cuda z niespodzianką".

Janusz MB Jacek Zięba 2016-11-16

Zapomniałem o jednej acz istotnej sprawie.

adBlock na WWW jest oficjalnie wspierany przez firmę Apple. Rzecz jasna tylko na WWW i tylko wtedy keidy blokowanie reklam uderza w reklamy i biznes Google i blokuje dochody wydawców którzy nie zechcieli przenieść całego biznesu on line do platformy Apple, powiększając dochody z Apple News itp.

Blokowanie reklam "nie na WWW" bez jailbreaka jest niemożliwe.

koh Jacek Zięba 2016-11-16

Jaki brak honoru?

Gimbaza uważa, że kradzież oprogramowania to walka ze "ZŁYM SYSTEMEM" i w ogóle to oni wtedy są wielcy "ANONYMOUS" i noszą maski i czują się Robin Hoodami i Trzema Muszkieterami i walczą z ACTA :D

longmanus miqui 2016-11-16

" jak kupią MBP za 14 tys. i iPhona za 4 tys. to będzie wielki problem...", nie będzie żadnego problemu - bo oni go NIE kupią, tak jak 80 % "wyjców" z szacownego forum MA :-).

Problem nie polega na tym, że chińskie przejściówki są po 30 a "oryginalne" po 99, problem polega na tym że "oryginalne" to te po 30 (po 3 pln w rzeczywistości, nie - nie przesadzam) tylko trochę inaczej pomalowane (znam się na tym zawodowo, NIKT nie wmówi mi że jest inaczej).

Tak - mam MBA i wiem co mówię, jak zobaczyłem oryginalny kabel Mini DP>HDMI, to zgroza mnie przejęła (kiedy zobaczyłem w necie jak większość kabli Apple wygląda po roku, rezygnacja), kupiłem za 49 z oplotem, końcówkami 24 k, działa doskonale i będzie działał dużo dłużej niż ten biały "crap".

Zły mogę być co najwyżej na firmę, która sprzedając mi komputer, zmusza mnie do poszukiwań akcesoriów u firm trzecich - bo sama sprzedaje shit w ładnym opakowaniu i na 30 krotnej marży.

Cóż zrobić, taką mam mentalność, nie lubię jak mnie d... boli ;-)

longmanus koh 2016-11-16

Mod z całym szacunkiem, toto poniżej, jest pierwszym produktem Steve J.&Woz. Company i stoi na honorowym miejscu w Computer History Museum in Mountain View California :-)

Służyło do oszukiwania automatów telefonicznych (dialer), Steve & Woz oficjalnie przyznali że zarobili na tym pierwsze 6,000 $, co w roku 1972 stanowiło niebagatelną kasę :-)

Dzieciaki ściągające gierki z chomikuj.pl w paczkach zip to gówniarze, true, dzieciaki które je łamią, to geniusze, którym intelektem (komputerowym) nie dorastam do pięt, kiedyś z dużej ich części będą mądrzy ludzie.

ACTA to g..... imo, howgh :-) (to nie wstęp do sporu, tylko komentarz - na który wcale nie musisz odpowiadać)

macand Janusz MB 2016-11-16

No to Jacek Pisz najpierw do Apple ;)

macand koh 2016-11-16

Pewnie masz rację ale... zawsze jest jakieś ale. Ja płacę za to co uważam za słuszne, wiem to straszne że doprowadze w ten sposób do bankructwa Taylor Swift :D

koh longmanus 2016-11-16

Ja o gimbazie, nie o geniuszach :)

longmanus koh 2016-11-16

Tylko że to jak z hodowlą kwiatków - nigdy nie wiadomo co z takiego wyrośnie ;-)

Blu box'y czyli te pudełka były "a popular item amongst various criminal elements", to tak jakbyś teraz sprzedawał komórki na kartę, które dodatkowo były by "nabite" kasą no-limit, zadeptali by cię dilerzy i złodzieje, taka by była kolejka ;D.

Reasumując, gdybyś w tamtych czasach usłyszał o dzieciaku który robi blu box'y, a kasę zamierza częściowo przeznaczyć na podróż do Indii a częściowo na eksperymenty z LSD i trawą, raczej nie przewidział byś trafnie jego przyszłości ;-).

“Taking LSD was a profound experience, one of the most important things in my life. LSD shows you that there’s another side to the coin, and you can’t remember it when it wears off, but you know it. It reinforced my sense of what was important—creating great things instead of making money, putting things back into the stream of history and of human consciousness as much as I could.”

longmanus Jacek Zięba 2016-11-16

Ja wcale nie twierdzę że cracking jest 100% ok, ale nie popadamy w... http://sjp.pwn.pl/slowniki/patos.html

Radkovsky longmanus 2016-11-16

Jest wiele "sortów" danego zamiennika. Od takich za 0,05$ po takie za kilka-kilkanaście $ jeżeli mówimy o jakichś niedużych przedmiotach typu ładowarka, czajnik etc. Nawet z jednej fabryki mogą wychodzić produkty o różnej gradacji cenowej i właśnie różnią się samą jakością komponentów - nawet tworzywo z którego robi się obudowę może być w 10 wersjach. Do tego dowolne logo jak trzeba. Nie wiem gdzie pracujesz, ale ja znam jednego z największych importerów w Polsce i widzę od 10 lat produkty przedprodukcyjne (testowe) i wyjściowe do marketów.

koh longmanus 2016-11-17

Złodziejstwo to złodziejstwo.

Nie zmieni tego fakt, że kilka znanych osób miało takie epizody w życiu. To że Jobs i Woźniak kradli sygnał telefoniczny nie powinno nikogo rozgrzeszać. Kradniesz oprogramowanie to jesteś złodziejem i tyle.

Jak zobaczyłem i przeczytałem w biografii Jobsa że parkował permanentnie na miejscach dla niepełnosprawnych to brał mnie lekki podkurw. Nie po to projektuję takie miejsca żeby jakiś leszcz w mesiu sobie ułatwiał życie bo jest leniwym ch...jkiem :/ Dlatego takie frajerstwo kończy często zeskrobując nalepki "karny ku..as za ch..jowe parkowanie" :) ... a to i tak łagodny wymiar kary bo mandat to 500 zyla, a niektórzy bawią się jeszcze kluczami na masce (no ale to przesada wg mnie) :)

Ok ... wyżaliłem się. Podsumowując, kradzież to kradzież, a złodziej to złodziej, i nic nie umniejsza jego winy, nawet jakby został świętym :)

macand koh 2016-11-17

Wszyscy jesteśmy lub byliśmy złodziejami

koh macand 2016-11-17

No nie przeczę... lata 90-te i 80-te to była wolna amerykanka.

macand koh 2016-11-17

Do 2006-8 włącznie 😀

longmanus koh 2016-11-17

Bardziej chodziło mi o styl wypowiedzi p. Jacka Z. niż jej przekaz :-), parkowania też nie lubię (buractwo imo, najgorszej wody), ale jeśli chodzi o resztę, to się nie dogadamy.

Jestem człowiekiem traktującym prawo tak jak MNIE w danej chwili jest wygodnie, w bogi i honory nie wierzę, a prawo jest dla mnie czymś rodzaju... zakładu, "no dobrze, więc jeśli ja zrobię tak - to wy możecie mi zrobić to...", i wtedy zgodnie z własnym wyborem - robię rzeczone "to" lub nie - i już jestem za stary żeby się to zmieniło, ale nie banuj mnie za to ;-)

Cytując klasyka "Lepiej zostać piratem, niż wstępować do marynarki" ;D
free image host

Ciekawe informacje dotyczące Safari w systemie iOS 18

Ghost Touch może pojawiać się również w starszych zegarkach. Apple przesłało zalecenia do serwisów

Informacje dotyczące baterii w tegorocznych iPhone'ach

Tegoroczne zegarki Apple Watch z bardziej energooszczędnymi ekranami

Aplikacja z niespodzianką

Komentarze 29