雷锋源中文网
最快捷的苹果资讯

【通知】XSettings雷锋助手释出,首次登台即拿非法广告祭旗

事件回顾:

上个月20日前后,陆续接到朝阳群众反应,雷锋源被非法植入广告,Cydia内雷锋源及其派生页面相继出现各种广告。该情况给大家带来了极大的不便。技术组连夜分析广告出现原因,奋战通夜梳理中整个入侵流程,于凌晨5时前后抓取全套攻击代码。


攻击分析

1:首先判断广告来源,雷锋源服务器是否被入侵?经过多方测试,技术组排除了该种可能。

2:然后技术组同学想到该木马可能来自非法插件,随即让测试机进入安全模式,让所有插件进入随眠模式。可惜此时进入测试机Cydia内仍然存在广告。而且广告内容还变成了魅惑女郎。。。这是在挑衅?

640-1

640

3:是否Cydia被劫持?通过逆向分析测试机上Cydia样本头部,再次排除了这种可能,分析陷入僵局。

640-2

4:通过抓包分析数据流,发现服务器流入数据正常,但是经过测试机接收后,发起了3个异常Get请求,跟进这三个Get请求,嘿嘿嘿~

第一个Get请求执行黑客的服务器api用于创建底部广告窗口

第二个Get请求用于创建页面上n个透明窗口,确保用户怎么点都会点击到广告内容(该杀!)

第三个Get在1~2请求受阻后发起,起补刀作用

640

但凡仍以1~3中任何一个请求接通服务器,就像打开潘多拉魔盒,瞬间在手机上建立50多个URL请求,整个攻击行为结束。

每次刷新页面,重复上述步骤。

真想大白:黑客通过用户访问挂马网站,下载带毒JavaScript,阻碍Cydia Cache(缓存)正常刷新,拦截雷锋源正常JS,劫持用户到黑客指定服务器,完成广告的大量散布。

由于手动清除感染的广告木马较为复杂,所以XSettings 也就应运而生,Settings本是技术组iOS8时开启的一个项目,由于一些事情耽搁至今。此次木马查杀只是XSettings众多实用功能中的一个,未来还很长,我们会不断努力。XSetting内置了原厂推送更新接口,方便将来同学们更新。


截图对比:

640-3

同学们直接前往雷锋源,搜索安装 雷锋助手 或者 XSettings 即可砍掉这该死的广告木马。

警告该黑客同学:

由于没找到太多您的联系方式,只好把律师函发往您的邮箱了,请注意查收。好自为之!

640-4

未经允许不得转载:雷锋源中文网 » 【通知】XSettings雷锋助手释出,首次登台即拿非法广告祭旗

点赞 (36)
分享到:更多 ()

评论 1

  1. 沙发

    我装完以后电话免提没有声音,我讲话别人也听不见,但是用微微打电话就一切正常,是不是我把什么权限改了,我还装了callbar一样打不了,ios10.3.3
    13807160533

    我以為我會哭3年前 (2018-02-10)