一个中国的IOS第三方应用商城通过重新包装流行并带有恶意广告软件的应用程序，然后利用网络重新传播，目前已经感染超过万用户。

这个应用程序商店叫Haima，只迎合中国市场。该服务使用一种叫做appside-loading的技术，用户可以用它从非官方应用商城中安装软件。

苹果支持针对企业市场的appside-loading技术，这样私营企业的员工便可以安装他们的自定义应用程序，但是在应用商场中并不支持。这些应用程序通常处理的是公司敏感信息，苹果非常乐于提供这个功能，因为在自带设备办公的市场中这个功能是必须的。

Haima的运营人使用side-loading技术来推广软件应用程序。安装过程非常复杂并且需要依赖苹果自定义的企业证书。

用户经常会被具有侵略性或者诱人的社交媒体宣传骗进这个冗长的程序。另外，Haima会每3天更换一个企业证书。之所以这样做，是因为苹果禁止滥用证书的行为。

这些证书通常是从合法的企业偷来并且通过地下黑客论坛卖出。一个这种证书的费用大约是$，与Haima商城利用ad-packaged应用程序挣得的钱相比，是一笔很小的开支。

趋势科技研究人员分析了该商店中的应用程序。他们表示，所有的动态代码都被注入到了原始应用程序，从而可以推广广告，而这些广告通常都是来源于Inmobi,Mobvista,Adsailer,Chance,DianRu和Baidu。

对于像盗版PokemonGO这类软件来说，代码同样被注入进了一个不真实的GPS数据中，所以用户可以在不支持下载的地区下载使用。这也说明整个过程不是自动化的，而是需要开发人员手动的将这些代码注入进应用程序中。

由趋势科技收集到的数据显示，超过万的iOS用户已从海马商店安装应用程序，其中有超过万用户安装了改版的MinecraftPocketEdition，超过万的用户安装了改版的Terraria，超过万的用户安装了改版的PokemonGO。

尽管苹果在iOS9中添加了防御措施，但Haima仍能绕过其措施。

注：本文参考来源于softpedia