给腾讯TIM插入广告木马（一）

（1）iOS Application File

最近一款在VirusTotal的应用程序引起了我们的注意。

从文件名可以看出这是一款使用了Clutch的破解软件。对ipa文件进行解压（实际是zip文件）。

jailbreak这个库看起来很可疑

nguyen tat hung 虽然是一个知名开发商，但不是MailTime Pro的开发商。

进一步，我们发现jailbreak动态注入到了二进制程序中。

大多数的库，在导入表中包含了他们的安装路径和真实名称

通过assert()宏，查看项目的关联信息

（2）Inject Library

通过符号表，快速的找到知名SDK和CocoaPods。

一个越狱软件包括如此多的广告是不常见的，这里有剩余的 类头文件 。

-[Config getConfig]方法从程序目录加载wrap.json文件。

经过几次循环等待，注入的代码会联系一个不安全的远程主机，部分的服务可以工作。

比如，coreapi服务似乎不能工作。

http://wrapper.laughworld.net/coreapi/active_device.php?pk=IPANAME&is_jb=1&udid=REDACTED&signature=MD5

http://wrapper.laughworld.net/coreapi/get_list_message.php?pk=IPANAME&is_jb=1&udid=REDACTED&libver=20160818&app_pk=IPANAME_AGAIN&app_ver=1.2.3&signature=MD5

当api服务启动后

http://wrapper.laughworld.net/api/com.mailtime.MailTimePro_ads.json

最有趣的是update请求

-[API getUpdate:withSelector:]方法会请求http://wrapper.laughworld.net/api/com.mailtime.MailTimePro_update.json

script_zip,script_file和md5_script没有被执行，script_zip的URL指向一个加密的ZIP,并且md5_script是无效的(最后一个字节错误)。

linkfw指向一个有效的Zip，一旦下载并解压， -[guiinject _loadPluginAtLocation:]将加载框架并发送一个run消息到principalClass。md5fw用于自我更新。

到目前为止，我们没有看到任何广告，他们可能隐藏在视图中。

（3）Downloaded Framework

开发者的标识发生了改变。

框架的header中有开发者和组织。

这是有Xcode自动生成的，经itviec工作网查询， GTT Media 和 T&B 是外包公司。

一旦加载完成，框架通过lib服务请求托管在DailyUploads和FileFactory站点上的文件列表。

http://wrapper.laughworld.net/lib/DailyUploadDownloadModule.conf