对锁机APP”防蹭网大师”的逆向分析
报告名称:对锁机APP”防蹭网大师”的逆向分析作者:wnagzihxain
报告更新日期:2016.07.31
样本发现日期:不详
样本类型:锁屏
样本文件大小/被感染文件变化长度:
样本文件MD5 校验值:
样本文件SHA1 校验值:
壳信息:无
可能受到威胁的系统:安卓
相关漏洞:无
已知检测名称:无非常有意思的一个解锁方式Apk的形式还是一个apk嵌套另一个锁机样本所以前面的分析就不讲了,直接来看锁机apk看起来和以前的apk是一样的,其实不是的来看以前分析过的apk的生成锁机序列号和解锁密码的地方发现没有相关的语句什么情况???来看button的监听事件,这里说不定会有答案看到这里是读取输入框的值进行对比瞬间心安了一下但是来看一下这个控件在xml里的定义Invisible的意思就是看不到,也就是没法输入那么结合上面一想,既然不能输入,那么这个岂不是永远不成立,那这个岂不是永远解不开?想到这里吓得我赶紧回去再看一眼突然发现这里执行了一个方法赶紧过去看看写的是啥访问了一个页面,然后获取返回的数据转为字符串之后传给handler处理这里有两个case,结合上面两张图可以判断出case1是请求出错的分支,所以不执行,case2是返回码是200的分支,返回码200是请求成功的意思,所以开始判断返回的数据里是否包含textview_3的字符串,那么把ifelse里面的语句连起来,意思就是当返回的数据里包含textview_3的字符串则解锁好了现在来看看textview_3里是什么东西很明显的是随机生成一个十个字母的字符串也就是说:随机生成十个字母的字符串,当请求的页面上有这个随机字符串的时候就会解锁来看这个页面现在没有东西,可以猜出来当有人加作者解锁的时候,作者会修改这个界面的日记本,内容就是受害者手机那个随机字符串,解完锁立刻删除(昨天我看的时候还有一个字符串的)现在我们来验证一下先创建一个页面,注册一下就行的我写了一个很短的demo上androidkiller,反编译出来找到请求的网址修改成刚才我们自己的页面,编译出来然后将这个apk修改为so后缀,替换掉原先apk的ijm-x86.so文件,注意文件名,然后签名最终的apk来测试安装好后,根据随机字符串修改页面的数据,只要包含即可然后就解开了,右边是真正的锁机apk关于写入system/app的apk如何删除前面的分析详细描述,这里就不讲了但是被锁机的手机怎么解锁呢?中间人攻击即可,怎么做这里不描述了,自行搜索吧
原文地址:
http://www.wangzhixian.org/analysis-report-of-evil-apk/%E5%AF%B9%E9%94%81%E6%9C%BAapp%E9%98%B2%E8%B9%AD%E7%BD%91%E5%A4%A7%E5%B8%88%E7%9A%84%E9%80%86%E5%90%91%E5%88%86%E6%9E%90/
页:
[1]