Китайский магазин приложений на платформе iOS стал причиной инфицирования более 75 млн. устройств приложениями вида Adware, заново упаковывая популярные приложения и распространяя их на своём сайте. Магазин Haima работает только на китайском рынке и использует стороннюю загрузку приложений, позволяя ставить программы не из официального магазина App Store.
Apple поддерживает стороннюю загрузку приложений на корпоративном рынке, где компаниям нужно устанавливать собственные программы, отсутствующие в магазине. Обычно такие приложения содержат корпоративную конфиденциальную информацию, позволяя обладателям устройств Apple использовать их не только в личных целях, но и на работе.
Операторы Haima используют стороннюю загрузку для распространения своих приложений, полагаясь на корпоративные сертификаты Apple. Каждые три дня эти сертификаты меняются, поскольку Apple регулярно блокирует их. Сертификаты зачастую крадутся у организаций и продаются на подпольных форумах, стоимость может достигать $300.
Исследователи из компании Trend Micro проанализировали приложения в данном магазине. Код внедряется в официальные приложения, показывая рекламу из сетей Inmobi, Mobvista, Adsailer, Chance, DianRu и Baidu. Для приложений вроде поддельной Pokemon GO внедряются поддельные данные GPS, чтобы можно было установить их в неподдерживаемых регионах. Процесс не автоматический, код встраивается вручную.
Trend Micro говорит о 75 млн. установивших в Haima приложения пользователей. Больше 68,87 млн. установили игру Minecraft Pocket Edition, свыше 6 млн. установили приложение Terraria, больше миллиона игру Pokemon GO.