# Analyzing HijaIyh (APPLE SCAMPAGE V2) phishing kit Today I found an interesting phishing kit targets Apple users named `HijaIyh`(`hijaiyh_v2.1-2019-stable.zip`) on `hXXps://secureappleidapple.com.mansthigh[.]com`. In this post, I'll show my findings about HijaIyh. ## Directory structure ```shell $ tree . . ├── HijaIyh_App │ ├── application │ │ ├── assets │ │ │ ├── css │ │ │ │ ├── First.css │ │ │ │ ├── Fonts.css │ │ │ │ ├── Login.css │ │ │ │ ├── LoginTest.css │ │ │ │ ├── Second.css │ │ │ │ ├── error-tips.css │ │ │ │ ├── index.html │ │ │ │ ├── index.php │ │ │ │ └── verify.css │ │ │ ├── failed.php │ │ │ ├── fonts │ │ │ │ ├── eight.ttf │ │ │ │ ├── eight.woff │ │ │ │ ├── five.eot │ │ │ │ ├── five.ttf │ │ │ │ ├── five.woff │ │ │ │ ├── four.ttf │ │ │ │ ├── four.woff │ │ │ │ ├── icons.eot │ │ │ │ ├── icons.svg │ │ │ │ ├── icons.ttf │ │ │ │ ├── icons.woff │ │ │ │ ├── index.html │ │ │ │ ├── index.php │ │ │ │ ├── nine.eot │ │ │ │ ├── nine.ttf │ │ │ │ ├── nine.woff │ │ │ │ ├── one.eot │ │ │ │ ├── one.ttf │ │ │ │ ├── one.woff │ │ │ │ ├── seven.eot │ │ │ │ ├── seven.ttf │ │ │ │ ├── seven.woff │ │ │ │ ├── shared-icons.eot │ │ │ │ ├── shared-icons.svg │ │ │ │ ├── shared-icons.ttf │ │ │ │ ├── shared-icons.woff │ │ │ │ ├── six.ttf │ │ │ │ ├── six.woff │ │ │ │ ├── ten.eot │ │ │ │ ├── ten.ttf │ │ │ │ ├── ten.woff │ │ │ │ ├── three.ttf │ │ │ │ ├── three.woff │ │ │ │ ├── two.ttf │ │ │ │ └── two.woff │ │ │ ├── img │ │ │ │ ├── 3d │ │ │ │ │ ├── jcb.png │ │ │ │ │ ├── msrc.png │ │ │ │ │ ├── safekey.png │ │ │ │ │ └── vbv.png │ │ │ │ ├── app-small.png │ │ │ │ ├── app-small.svg │ │ │ │ ├── app.png │ │ │ │ ├── app.svg │ │ │ │ ├── apple-icon.png │ │ │ │ ├── au.png │ │ │ │ ├── bag-small.svg │ │ │ │ ├── bag.png │ │ │ │ ├── bag.svg │ │ │ │ ├── bag_small.png │ │ │ │ ├── bagblue.png │ │ │ │ ├── bagblue.svg │ │ │ │ ├── bg-microsoft.jpg │ │ │ │ ├── bg-mobile.jpg │ │ │ │ ├── bg.jpg │ │ │ │ ├── ca.png │ │ │ │ ├── cc │ │ │ │ │ ├── amex.png │ │ │ │ │ ├── diner.png │ │ │ │ │ ├── discover.png │ │ │ │ │ ├── jcb.png │ │ │ │ │ ├── maestro.png │ │ │ │ │ ├── mastercard.png │ │ │ │ │ ├── null.png │ │ │ │ │ └── visa.png │ │ │ │ ├── cvv.png │ │ │ │ ├── cvv1.png │ │ │ │ ├── cvv2.png │ │ │ │ ├── favicon.ico │ │ │ │ ├── icons.jpg │ │ │ │ ├── id.png │ │ │ │ ├── index.html │ │ │ │ ├── index.php │ │ │ │ ├── ipad-small.png │ │ │ │ ├── ipad-small.svg │ │ │ │ ├── ipad.png │ │ │ │ ├── ipad.svg │ │ │ │ ├── iphone-small.png │ │ │ │ ├── iphone-small.svg │ │ │ │ ├── iphone.png │ │ │ │ ├── iphone.svg │ │ │ │ ├── logo.png │ │ │ │ ├── mac-small.png │ │ │ │ ├── mac-small.svg │ │ │ │ ├── mac.png │ │ │ │ ├── mac.svg │ │ │ │ ├── microsoft-80658_960_720.png │ │ │ │ ├── music-small.png │ │ │ │ ├── music-small.svg │ │ │ │ ├── music.png │ │ │ │ ├── music.svg │ │ │ │ ├── ne.png │ │ │ │ ├── search-small.png │ │ │ │ ├── search-small.svg │ │ │ │ ├── search.png │ │ │ │ ├── search.svg │ │ │ │ ├── security.png │ │ │ │ ├── spin.GIF │ │ │ │ ├── spinner.gif │ │ │ │ ├── spinner.svg │ │ │ │ ├── spinner2.gif │ │ │ │ ├── support-small.png │ │ │ │ ├── support-small.svg │ │ │ │ ├── support.png │ │ │ │ ├── support.svg │ │ │ │ ├── tv-small.png │ │ │ │ ├── tv-small.svg │ │ │ │ ├── tv.png │ │ │ │ ├── tv.svg │ │ │ │ ├── uk.png │ │ │ │ ├── uploadcc.png │ │ │ │ ├── us.png │ │ │ │ ├── user_shield.png │ │ │ │ ├── verify.jpg │ │ │ │ ├── watch-small.png │ │ │ │ ├── watch-small.svg │ │ │ │ ├── watch.png │ │ │ │ └── watch.svg │ │ │ ├── index.html │ │ │ ├── js │ │ │ │ ├── additional-methods.min.js │ │ │ │ ├── index.html │ │ │ │ ├── jquery-1.9.1.js │ │ │ │ ├── jquery.maskedinput.js │ │ │ │ ├── jquery.payment.js │ │ │ │ ├── jquery.validate.min.js │ │ │ │ ├── validator.js.php │ │ │ │ └── validator.mob.js.php │ │ │ ├── login.php │ │ │ └── statement.php │ │ ├── class │ │ │ ├── Blocker_iyh.iyh.php │ │ │ ├── Core_iyh.iyh.php │ │ │ ├── Locale_iyh.iyh.php │ │ │ ├── PHPMailer.iyh.php │ │ │ ├── Result_iyh.iyh.php │ │ │ ├── SMTP.iyh.php │ │ │ ├── Vbv_iyh.iyh.php │ │ │ └── index.html │ │ ├── config │ │ │ ├── config.iyh.php │ │ │ └── err.html │ │ └── languages │ │ ├── hijaiyh-en.ini │ │ ├── hijaiyh-id.ini │ │ └── hijaiyh-ja.ini │ ├── controller │ │ ├── 3dsecure.icontrol.php │ │ ├── AppControl.php │ │ ├── complete.icontrol.php │ │ ├── email.icontrol.php │ │ ├── index.html │ │ ├── login.icontrol.php │ │ ├── manage.icontrol.php │ │ └── uploadID.icontrol.php │ ├── request │ │ └── HijaIyhApi.php │ ├── stats │ │ └── index.php │ ├── upload │ └── view │ ├── 3dsecure.iview.php │ ├── complete.iview.php │ ├── emails │ │ ├── aol.iview.php │ │ ├── gmail.iview.php │ │ ├── microsoft.iview.php │ │ └── yahoo.iview.php │ ├── index.html │ ├── login.iview.php │ ├── manage.iview.php │ ├── mobile │ │ ├── idcard.php │ │ └── profiles.php │ ├── mobile.iview.php │ └── uploadID.iview.php ├── activator.php ├── autoloader.php ├── htaccess.iyh ├── index.php └── init.iyh.php 19 directories, 178 files ``` ## Signature of the creator ```php <?php # BNERRRR /** * HijaIyh 2019 Present. * APPLE SCAMPAGE V2 * * @author shutdown57 < indonesianpeople.shutdown57@gmail.com > * @version 1.6 , 1.7 , 1.8 , 1.9 , 2.0 * **/ ``` ## Supporting languages HijaIyh supports English, Indonesian and Japanese languages. As for me (a native Japanese speaker), its Japanese localization doesn't look good. **HijaIyh_App/application/languages/hijaiyh-ja.ini** ``` 131e6895347860cbae21194cc001f661 = "都道府県" f937524a14014f95324f08ff5b9090e9 = "あなたを作成" c64ee728b7280fa20db61a999c7c7a47 = "忘れた" cc757912da351b9c51ece2bcfa14f189 = "またはパスワード" 0bbb5560d8bd9f650d1a3d4f8718794c = "Appleのすべてのアカウント。" 58a1aa256ec07ad1df1bf0abe31e2d62 = "独身者" 070bb1ca8560cea23d0ea1aaf3865bc4 = "パスワードを入力すると、すべてのAppleサービスにアクセスできます。" 8cd15307c959f83e1667327df1667b31 = "Apple IDについてさらに詳しく" 00a80c7d9cd109564432232dff4ab454 = "Apple IDを作成してください" e222b39eb20bf93dcedbc13b41a82882 = "Appleアカウントを管理する" 23b3ce4689e35ec873a171b5eb70b97c = "Appleアカウントを管理するApple ID" 6675609ae0e858c1153a4ba7aa67d441 = "私を覚えてますか" a2f4f8ad5f8eb460fe2c76423884e6e2 = "郵便番号" 3ccaa0cb34795704f4148627e9c8c0f4 = "Apple IDを管理する" d7b0fe19186e88c227be6ceed4579e9e = "サインイン" ``` ## API & C2/Admin panel HijaIyh has an API provides IP/Hostname/User-Agent based blocklist. **init.iyh.php** ```php <?php function downloader($source,$filename) { $zipResource = fopen($filename, "w"); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $source); curl_setopt($ch, CURLOPT_FAILONERROR, true); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true); curl_setopt($ch, CURLOPT_AUTOREFERER, true); curl_setopt($ch, CURLOPT_BINARYTRANSFER,true); curl_setopt($ch, CURLOPT_TIMEOUT,0); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0); curl_setopt($ch, CURLOPT_FILE, $zipResource); $page = curl_exec($ch); return $page; curl_close(); } function get_blocker($key) { $blockers = ['isp' => 'isp-block.txt', 'ip' => 'ip-blacklist.txt', 'host' => 'hostname-block.txt', 'agent' => 'useragent-block.txt']; foreach($blockers as $type=>$bot) { downloader('https://hijaiyh.net/hijaiyh.api?account_key='.$key.'&request=blocker&type='.$type,'./HijaIyh_App/application/config/'.$bot); } } if(isset($_POST['key'])) { $key = $_POST['key']; $fp = fopen('./HijaIyh_App/application/config/account_key.ini','w'); fwrite($fp,$key); fclose($fp); get_blocker($key); echo "<script>window.location.href='?iyh';</script>"; } ``` The API endpoint(`hijaiyh[.]net`) seems like that it also has a C2/Admin panel role. ![](https://i.imgur.com/V6nrjIA.png) ## Abusing GitHub for hosting the phishing kit **activator.php** ```php <?php Class HijaIyh_Activator{ public static $version_download = 'v2.1-2019'; // ubah versi untuk menggunakan SC terbaru. public static $account_key_dir = './HijaIyh_App/application/config/account_key.ini'; public static $account_key_temp = './account_key.ini.temp'; public static $repository = 'https://justalinko.github.io/iyh/hijaiyh_'; public static function activate() { if(!preg_match("/HijaIyh_Panel/", $_SERVER['HTTP_USER_AGENT'])) { header('HTTP/1.1 403 Forbidden'); exit('<b>Permission denied.</b>'); }else{ if(!isset($_GET['delete'])){ $mas = self::$repository.self::$version_download.'.zip'; $proc = self::write_data(self::$account_key_temp,$_GET['account_key']); $proc.= self::downloader($mas,'hijaiyh.zip'); $proc.= self::unzipper(); $proc.= self::write_data(self::$account_key_dir,@file_get_contents(self::$account_key_temp)); $proc.= self::get_blocker($_GET['account_key']); $proc.= self::cleanUp(); ``` This activation script tries to download the phishing kit via `hXXps://justalinko.github[.]io/iyh/hijaiyh_v2.1-2019.zip`. ![](https://i.imgur.com/heh6RVg.png) ## The price There is a promotion vide of HijaIyh on YouTube. * https://www.youtube.com/watch?v=fnNtEqp4Axw The description of the video says that its price is 30 USD. ![](https://i.imgur.com/ramYlMi.png) ## Attribution I found several SNS accounts which are possibly tied with the creator of HijaIyh. - High confidence: - GitHub: https://github.com/justalinko - Email: indonesianpeople.shutdown57@gmail[.]com - Medium confidence: - Twitter: https://twitter.com/alinmansby - Instagram: https://www.instagram.com/justalinko/ - Facebook: https://www.facebook.com/alinko.jp - Telegram: https://t.me/shutdown57 - WhatsApp: https://api.whatsapp.com/send?phone=6285225510000 It's known that there are active phishing/spamming communities in Indonesia. - [DeepEnd Research: Indonesian Spam Communities](http://www.deependresearch.org/2018/09/indonesian-spam-communities.html) So I suppose that he/she is a member of the communities.