饿了么安全：Mac 下的破解软件真的安全吗？

0x01 前言

小夏是一名普通Mac用户，某天，他打算试试思维导图来记录工作学习。他问同事小芳：“Mac下有啥好用的思维导图软件？”小芳：“XMind呀，很实用的思维导图软件。”小夏：“那到哪里下载，要钱吗？”小芳：“哎，你百度XMind破解版呀! 不需要花钱的，直接安装!”小夏：“这么方便！我试试！”

这些所谓的破解版真的安全么?

0x02 样本概述

Xmind是一款实用的思维导图软件，正版官网售价高达99刀, 这个价格当然对普通用户无法承受, 通过搜索，很多站点都提供了破解版下载▼

对比相同版本号的正版和破解版, hash如下:

dab95dbad19995aeb88cc5d1bb0a7912  XMind_orig   //正版   [v3.7.1]   [306.2M]

094b3a161b7d041d217f6c61624ed388  XMind_new    //破解版 [v3.7.1]   [327.9M]

我们发现该样本采集了用户的很多隐私信息, 上传到了第三方服务器,采集信息如下图▼

目的

1、黑产非法售卖用户信息, 泄漏用户隐私

2、广告推广, 获取盈利

3、钓鱼执法, 发送侵权律师函

4、etc

下面我们对该样本详细分析

0x03 基本信息

在Mac应用中，OSX系统下的Mach-O是可执行文件格式，程序跑起来解析Mach-O，然后