大年夜导出结不雅来看，很可疑的是CJFishPoolHook类，该类有多达16个成员， 写该动态库的法度榜样员异常诚实，没有进行任何加密、混淆类名、办法名的操作，是以大年夜字面上也不难猜出其含义为qq号、微旌旗灯号、手机号、邮箱号、操作体系、CPU类型、内存、MAC地址、内网IP、公网IP、用户名、应用列表、设备ID，是否上传信息、开启应用和封闭应用的时光。

第二个动态库的类办法较少，很明显能猜出，hook了法度榜样的函数，修改法度榜样运行逻辑。

重要办法为:

• init初始化办法
• ExChangeImp，Method Swizzling动态交换函数指针，用于hook
• BuyHook
• CheckUpdatesHook
• HelpHook
• TitleHook
• OpenURLHook
• DateMenuItemHook

我们发明钙揭捉?本采集了用户的很多隐私信息, 上传到了第三方办事器,采集信息如下图

最后还应用了一个加密办法办法，该办法传入第一个参数(明文)，第二个参数key用于加密内容。

0×05 抓包分析

经由过程膳绫擎的简单分析不难猜测, 他把采集的信息发送到办事端了, 经由过程抓包分析钙揭捉?本与办事端通信的过程如下：

第一次向办事端发送了checklocked, 返回值为0, 解释可以传输设备信息

接下的data是用来上传用户信息的。Body是经由AES加密后base编码的密文，既然key已经有了，可以测验测验解开请求密文

经由过程静态分析我们知道他应用了AES加密算法, 而key就硬编码在代码中

结合上述过程，懂得到加密算法的第一个参数为kCCEncrypt，第二个为kCCAlgorithmAES128，第三个为加密的填充模式kCCOptionECBMode。 根据此我们写出的AES解密办法应当为：

CCCryptorStatus cryptStatus = CCCrypt(kCCDecrypt,kCCAlgorithmAES128,kCCOptionECBMode, //ECB Mode keyPtr,kCCKeySizeAES128,iv,[self bytes],dataLength, /* input */buffer,bufferSize, /* output */numBytesEncrypted); 

key为：iMdpgSr642Ck:7!@

下面我们看看钙揭捉?本是若何获取这些用户隐私的。

0×06 静态分析

用户隐私收集

CJFishPoolHook.dylib中会获取用户的隐私信息, 其流程如下

在应用初始化过程中，单例类的CJFishPoolHook履行初始化Init，随后，在Init办法中进行初始化成员操作，包含上述的16个信息。

在初始化过后，开启捕获用户信息startCapture。这个中包含获取用户接洽方法(getContact)，获取设备信息(getDevice)，断定设备是否须要上传信息(checkLocked)，获取应用ID(getProduct)，获取设毕喔赡应用列表(getFeature)，获取地舆地位(getLocation)，获取启动时光(getHabitStart)。

最后一步，上传所稀有据到办事器，并且应用AES加密算法加密httpbody。

恶意收集QQ信息, 德律风, 微旌旗灯号，应用列表

应用大年夜Library/Containers/com.tencent.qq/Data/Library/Application Support/QQ目次获取小我QQ信息。在该目次下，保存着用户的临时聊天记录，截图等信息。

恶意推广

大年夜/Applications遍历本机安装的应用，形成应用列表。

libCJFishPoolHook.dylib修改了更新xmind的官方网站, 推广其本身的告白站点

过程注入后，应用Method Swizzling挂钩MenuItem、Button等按钮， 使其掉效或重定向跳转到其他网站，樊篱注册、激活检查更新功能 。难挂拄动应用后发明激活按钮掉效，无法进行版本更新，购买激活产品却跳转到另一个网站。

0×07 小结