Seorang peneliti keamanan asal Cina telah menemukan sebuah file dynamic library (.DYLIB) yang dicurigai adalah sebuah malware atau adware:

This dynamic library, named “spad.dylib”, was found under the directory /Library/MobileSubstrate/DynamicLibraries/. It’s configured to be injected to all applications which use the com.apple.UIKit framework. It uses Cydia Substrate’s API to hook lots of popular advertisement SDKs’ code in all applications which use these SDK to popup advertisement or get statistics of its installation.


Dynamic library yang dimaksud bernama “spad.dylib” dan ditemukan pada direktori /Library/MobileSubstrate/DynamicLibraries/. Cara kerjanya adalah dengan menginject semua aplikasi yang telah terinstall pada iDevice yang telah terjailbreak yang menggunakan framework com.apple.UIKit, dan dengan API dari Cydia Substrate, malware ini akan memunculkan iklan popup atau mendapatkan statistik penginstalan dari beberapa jenis SDK yang telah ditargetkan, seperti:

  • Youmi
  • Vpon
  • Umeng MobClick
  • Umeng App Union
  • AdSaga
  • MdotM
  • InMobi
  • MIX SDK
  • Domob
  • AdWhirl
  • AdsMogo
  • Google Mobile Ads SDK
  • AderMob
  • PolySDK

By replace these IDs in other applications, all further advertisements displayed in these applications will be counted as promoted by this author. Thus he will get related promotion fee which should been originally paid to the applications’ real developers.

Dengan mengubah ID asli (ID developer atau ID iklan/promosi) yang ada pada setiap aplikasi, maka semua iklan yang muncul pada aplikasi-aplikasi tersebut akan terhitung sebagai iklan yang dipromosikan oleh si pembuat malware, dan si pembuat malware tersebut yang akan mendapakan fee dari promosi yang ia “munculkan”.

Respon Saurik

Saurik dengan cepat menanggapi berita ini dan menurutnya, dynamic library yang mencurigakan ini tidak ditemukan pada repositori bawaan Cydia. Dan kemungkinan besar, dan yang paling masuk akal adalah, file dynamic library tersebut dibawa dari aplikasi atau tweak yang berasal dari repositori pihak ketiga.

(FWIW, no package in a default repository contains this file, although it is technically possible for a program in a default repository to dynamically write this file to disk after it is installed or something.) (It is probably only some third-party repository that has it, though, given that the only mentions in forums are written in Chinese.)

Harap dicatat, belum ada laporan dari kerusakan yang ditimbulkan dari file dynamic libary ini (di samping merugikan developer), jadi Anda tidak perlu panik.

Yang penting adalah, jangan memasukkan repositori yang sumbernya tidak dikenal, selalu pilih sumber yang terpercaya. Dan jangan suka menginstall aplikasi-aplikasi bajakan, apalagi yang sudah dimodifikasi oleh developer Cina (yang biasanya gampang dikenali; memiliki deskripsi dengan tulisan Cina).

Sumber:
[Claud Xiao]