安全路透社
当前位置:安全路透社 > 网络转载 > 正文

你的iPhone也出现“澳门赌场”日历推送了吗?分析邪恶的“苹果日历推”产业链

*本文原创作者:熊猫正正

一、事件概述

前段日子我的Mac电脑日历经常会弹一些推广链接广告啥的,不是在线澳门赌场,娱乐场,就是啪啪啪视频链接,反正这两类东西,大家都懂的,今天老婆回家,手机里又出现了,然后问我这是啥东西,怎么老是给我发这些消息,我才发现这东西”不简单“,之前在我Mac上出现没当回事,想想其实这种情况已经有一个月左右了,因为我老婆的appleid和我的Mac上使用的appleid是同一个,所以我们俩同时收到了这些垃圾推广信息,喜欢研究的我,当然也不能放过这个问题了,研究是什么原因?里面又隐藏着什么?能抓到一两个样本,就更好了,哈哈!

二、“真凶“追查记

前面说到我的电脑经常会出现日历推送信息,如下图所示:

1.jpg

随便选中一个推荐信息,然后右键点击查看简介,如图所示:

2.JPG

是一个叫周中的组织者给我发的推广信息,查看他的邮箱显示:ujwdmwqt1121@dnahe.com,明显是一个随机注册的邮箱地址,但它是怎么给我发送这条信息的呢?我和他又不是联系人,我的日历出现这些推广信息是怎么一回事呢?

带着这些疑问,我是想:我的电脑是不是中毒了?难倒又有啥新的OSX样本出现了?先ps -aux打开电脑进程搜索了一番,然后再对网络数据包进行监控,没有发现啥异常,一般的样本都会上传用户个人信息之类的,所以我都会先从网络和进程两方面下手,查找异常,但都没有发现有啥异常,也不是敲诈者类的样本,百度看看,搜索关键字:苹果日历,马上就出现了我想要的,原来网上已经有很多人中招了,而且我看日期都比较新,基本都是2016年8月份左右开始的问题,说明这类型的推广最近才流行起来的,如图所示:

3.jpg

4.jpg

5.jpg

6.jpg

看了上面广大网友们的求救信息,我才知道,原因真凶就是我的苹果帐号也被一些灰产份子给“苹果日历推”了…… 

三、苹果日历推是怎么推的? 

从上面的搜索结果看,原来不是中毒了,空欢喜一场了,不然又可以抓个样本来分析一下了,其实这些灰产人员根本就没有使用啥高深的技术,只是利用了苹果日历软件的一个BUG而已,苹果日历软件,在新建一个事件的时候,可以发送邀请给朋友的相关的邮箱,标题,地址都可以自定义修改,而且字数,时间段等都不受任何限制,如图所示:

7.jpg

XXXXXX@qq.com就我随便写的一个邮箱,如果这里填相关的appleid的邮箱,那么就会推送给相应的appleid,如果这个帐号在多台苹果设备上使用,同时会推送给相应的使用这个苹果帐号设备!而且这种类型的推广不用盗走你的appleid帐号,也不需要加你的appleid到联系人,可以随便发送给任何appleid帐号…… 

四、苹果日历推的产业链

了解了上面的一些知识点,我们下面就来YY下吧,从上面的搜索结果看,发现这种类型的推广似乎已发展成一种产业链的形势了,我搜索了一下网上的做这种推广的灰产,发现有一款狂人软件,链接:http://www.kuangren.net/,里面有一个类型的”苹果日历推“软件,如图所示:

8.jpg

软件还不便宜,一款软件要卖到3800块钱一套了,哈哈,应该也是易语言写的,发现好多这种类型的软件都喜欢使用易语言来写,因为有很多现成的”超级“模块可以用,可以很简单实现一些技术,以前做QQ盗号的时候,也会遇到一些用易语言来写简单的QQ盗号的,发现易语言真的很“强大”,是不是一些灰产人员专用语言了!

研究发现这款软件的主要功能点如下:

(1)两台动态vps,一台用来挂机检测帐号,一台用来挂机群发

(2)注册或购买一批苹果帐号,群发软件利用这些帐号来登录然后发送信息

(3)采集大量的邮箱,然后筛选出已经注册过苹果ID的邮箱

(4)开始大量群发

这里有两个小技术点:(1)检测邮箱是否注册了appleid (2)注册一批appleid,用于发送日历推广,哪里有需求,有利可图,哪里就有供应,于是网上就有了各种需求,如图所示:

9.jpg

10.jpg

11.jpg

这样一个简单的产业链就形成了,画个简单的产业链流程图:

捕获xxxxxx.JPG

软件开发人员主要是利用苹果日历软件一个BUG,然后写出相应的自动化工具,再销售给相应的需求人员(在线赌博网站,色情网站之类的站长或推广人员),然后他们再进行推广传播,产业链虽然很小,其实也算不上啥”产业“,哈哈,但也算是比较新型的一种攻击方式,而且受影响的用户还是蛮多的,而且防不胜防! 

五、总结

本来以为电脑中毒了,可以抓到一些样本来分析一下,给大家带点有技术含量的文章,没想法就YY了一下,哈哈,下次抓到啥好的osx类的样本,再给大家分析一把,总算是对老婆有个交待,免得被她鄙视,说我连这个都不知道是什么原因,还说自己是搞搬砖行业的,呵呵。

推广软件使用了几个技术点,一个验证邮箱,一个发送日历推,本来想分析一下,只可惜没有下到相应的软件,不然可以抓包分析一下,估计也就是利用相关的网络协议发送数据包,然后检测返回值之类的,大家如果有兴趣可以下载这样的软件,去抓下包就可以了,基本没啥技术点可言!

下面说些自己对现在一些”灰“产业的理解吧,随着我国网络安全法等法规的逐渐完善,像以前那种直接写恶意木马盗号,窃取用户信息的团队也在逐渐减少,同时也被打击了不少,现在的各种网络攻击手段主要用于国与国之类,间谍类软件,机密文件或商业文件的窃取中,以后这类型的攻击案例可能会越来越多,网络安全真的已经是上升到国与国之间,以前用间谍来盗取国家信息,现在就使用木马来实现,一般的普通用户也不会受到啥影响,国内现在出现了越来越多的像上面这种灰色的团伙组织,这类团队都是打擦边球,搞一些类似的刷QQ会员,刷砖,推广,捆绑流氓下载等,还有就是国内的各种诈骗团队也是越来越多,虽然国家已经加大了打击力度,但通过这种方式赚钱的人,可能是出于下面两个因素,所以屡禁不止:

(1)自身文化水平低下,又想赚大钱,想发财

(2)诈骗不需要啥技术水平,只要有一颗强大的内心即可……

所以这些网络犯罪越来越多,通过购买一些用户的资料,然后进行网络诈骗,基本全靠忽悠,有一点技术水平的,会开发点程序的,就会去做灰产,用易语言写个推广,下载者,刷砖之类的东西,或简单的自动化外挂,脚本之类的,这样可以赚点钱,也会不有大的风险,所以现在PC上大量的捆绑流氓推广类样本,还有就是敲诈者类样本,像以前的一些技术含量比较高的鬼影类样本,这样的开发团伙已经没有心思去花大量时间去搞了,年纪来了,赚不到啥钱,风险还很高,抓进去之后,老婆孩子咱办?呵呵

好了,YY这么多,就到这吧,就算给随便科谱一下这种“苹果日历推”的一些知识,大家如果也和我一样遇到这样的问题,就心里有数了,不用方了,你问我有啥方法可以解决吗?网上已经有了一些方法了,也只能这样了,苹果日历接收邀请后,只有三个选项:接受,可能,拒绝,解决的方法只有一个了:关闭日历同步选项,具体的方法如下:

设置→iCloud→关闭日历同步选项,如图所示:

13.jpg

如果想彻底清除,只能等苹果官方来解决这个问题了,大概苹果还不太了解国内灰产市场,也没听说过易语言,这门神奇的语言吧,呵呵,目前只有更换自己的AppleId的关联邮箱了,也不知道苹果啥时候能修复这个BUG,诶!

参考链接

http://mt.sohu.com/20160922/n468940176.shtml

http://bbs.feng.com/forum.php?mobile=no&mod=viewthread&tid=10917526

http://www.macx.cn/thread-2189628-1-1.html

http://mobile.163.com/16/0816/11/BUJ950NN0011179O.html

https://zhidao.baidu.com/question/756365316890077804.html

http://www.25pp.com/news/news_96630.html?_t_t_t=0.09916491433978081

http://v.ku6.com/show/80oXVMUfctKECFpcuLNQBQ…html

http://blog.tianya.cn/post-7325060-118834035-1.shtml

http://bbs.125.la/thread-13945968-1-1.html

http://tieba.baidu.com/p/4812029590

http://bbs.125.la/thread-13949572-1-4.html

http://bbs.125.la/thread-13947384-1-1.html

http://tieba.baidu.com/p/4814078967

http://bbs.125.la/thread-13952288-1-2.html

http://bbs.125.la/forum.php?mod=viewthread&tid=13949490&highlight=%C6%BB%B9%FB

*本文原创作者:熊猫正正

未经允许不得转载:安全路透社 » 你的iPhone也出现“澳门赌场”日历推送了吗?分析邪恶的“苹果日历推”产业链

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册