原标题：你的iPhone也出现“澳门赌场”日历推送了吗？分析邪恶的“苹果日历推”产业链

*本文原创作者：熊猫正正 ，本文属FreeBuf原创奖励计划，未经许可禁止转载

前段日子我的Mac电脑日历经常会弹一些推广链接广告啥的，不是在线澳门赌场，娱乐场，就是啪啪啪视频链接，反正这两类东西，大家都懂的，今天老婆回家，手机里又出现了，然后问我这是啥东西，怎么老是给我发这些消息，我才发现这东西”不简单“。

之前在我Mac上出现没当回事，想想其实这种情况已经有一个月左右了，因为我老婆的appleid和我的Mac上使用的appleid是同一个，所以我们俩同时收到了这些垃圾推广信息。

喜欢研究的我，当然也不能放过这个问题了，研究是什么原因？里面又隐藏着什么？能抓到一两个样本，就更好了，哈哈！

是一个叫周中的组织者给我发的推广信息，查看他的邮箱显示：，明显是一个随机注册的邮箱地址，但它是怎么给我发送这条信息的呢？我和他又不是联系人，我的日历出现这些推广信息是怎么一回事呢？

带着这些疑问，我是想：我的电脑是不是中毒了？难倒又有啥新的OSX样本出现了？

先ps -aux打开电脑进程搜索了一番，然后再对网络数据包进行监控，没有发现啥异常，一般的样本都会上传用户个人信息之类的，所以我都会先从网络和进程两方面下手，查找异常，但都没有发现有啥异常，也不是敲诈者类的样本。

百度看看，搜索关键字：苹果日历，马上就出现了我想要的，原来网上已经有很多人中招了，而且我看日期都比较新，基本都是2016年8月份左右开始的问题，说明这类型的推广最近才流行起来的，如图所示：

看了上面广大网友们的求救信息，我才知道，原因真凶就是我的苹果帐号也被一些灰产份子给“苹果日历推”了……

从上面的搜索结果看，原来不是中毒了，空欢喜一场了，不然又可以抓个样本来分析一下了，其实这些灰产人员根本就没有使用啥高深的技术，只是利用了苹果日历软件的一个BUG而已。

苹果日历软件，在新建一个事件的时候，可以发送邀请给朋友的相关的邮箱，标题，地址都可以自定义修改，而且字数，时间段等都不受任何限制，如图所示：

就我随便写的一个邮箱，如果这里填相关的appleid的邮箱，那么就会推送给相应的appleid，如果这个帐号在多台苹果设备上使用，同时会推送给相应的使用这个苹果帐号设备！

而且这种类型的推广不用盗走你的appleid帐号，也不需要加你的appleid到联系人，可以随便发送给任何appleid帐号……

了解了上面的一些知识点，我们下面就来YY下吧，从上面的搜索结果看，发现这种类型的推广似乎已发展成一种产业链的形势了。

我搜索了一下网上的做这种推广的灰产，发现有一款狂人软件，链接：，里面有一个类型的”苹果日历推“软件，如图所示：

软件还不便宜，一款软件要卖到3800块钱一套了，哈哈，应该也是易语言写的，发现好多这种类型的软件都喜欢使用易语言来写，因为有很多现成的”超级“模块可以用，可以很简单实现一些技术，以前做QQ盗号的时候，也会遇到一些用易语言来写简单的QQ盗号的。

这里有两个小技术点：（1）检测邮箱是否注册了appleid （2）注册一批appleid，用于发送日历推广，哪里有需求，有利可图，哪里就有供应，于是网上就有了各种需求，如图所示：

软件开发人员主要是利用苹果日历软件一个BUG，然后写出相应的自动化工具，再销售给相应的需求人员（在线赌博网站，之类的站长或推广人员），然后他们再进行推广传播，产业链虽然很小，其实也算不上啥”产业“，哈哈，但也算是比较新型的一种攻击方式，而且受影响的用户还是蛮多的，而且防不胜防！

本来以为电脑中毒了，可以抓到一些样本来分析一下，给大家带点有技术含量的文章，没想法就YY了一下，哈哈。

下次抓到啥好的osx类的样本，再给大家分析一把，总算是对老婆有个交待，免得被她鄙视，说我连这个都不知道是什么原因，还说自己是搞搬砖行业的，呵呵。

推广软件使用了几个技术点，一个验证邮箱，一个发送日历推，本来想分析一下，只可惜没有下到相应的软件，不然可以抓包分析一下，估计也就是利用相关的网络协议发送数据包，然后检测返回值之类的，大家如果有兴趣可以下载这样的软件，去抓下包就可以了，基本没啥技术点可言！

下面说些自己对现在一些”灰“产业的理解吧，随着我国网络安全法等法规的逐渐完善，像以前那种直接写恶意木马盗号，窃取用户信息的团队也在逐渐减少，同时也被打击了不少。

现在的各种网络攻击手段主要用于国与国之类，间谍类软件，或商业文件的窃取中，以后这类型的攻击案例可能会越来越多，网络安全真的已经是上升到国与国之间。

以前用间谍来盗取国家信息，现在就使用木马来实现，一般的普通用户也不会受到啥影响，国内现在出现了越来越多的像上面这种灰色的团伙组织，这类团队都是打擦边球，搞一些类似的刷QQ会员，刷砖，推广，捆绑流氓下载等，还有就是国内的各种诈骗团队也是越来越多。

虽然国家已经加大了打击力度，但通过这种方式赚钱的人，可能是出于下面两个因素，所以屡禁不止：

所以这些网络犯罪越来越多，通过购买一些用户的资料，然后进行网络诈骗，基本全靠忽悠，有一点技术水平的，会开发点程序的，就会去做灰产，用易语言写个推广，下载者，刷砖之类的东西，或简单的自动化外挂，脚本之类的，这样可以赚点钱，也会不有大的风险。

所以现在PC上大量的捆绑流氓推广类样本，还有就是敲诈者类样本，像以前的一些技术含量比较高的鬼影类样本，这样的开发团伙已经没有心思去花大量时间去搞了，年纪来了，赚不到啥钱，风险还很高，抓进去之后，老婆孩子咱办？

好了，YY这么多，就到这吧，就算给随便科谱一下这种“苹果日历推”的一些知识，大家如果也和我一样遇到这样的问题，就心里有数了，不用方了，你问我有啥方法可以解决吗？

网上已经有了一些方法了，也只能这样了，苹果日历接收邀请后，只有三个选项：接受，可能，拒绝，解决的方法只有一个了：关闭日历同步选项，具体的方法如下：

如果想彻底清除，只能等苹果官方来解决这个问题了，大概苹果还不太了解国内灰产市场，也没听说过易语言，这门神奇的语言吧，呵呵，目前只有更换自己的AppleId的关联邮箱了，也不知道苹果啥时候能修复这个BUG，诶！