盗版软件也疯狂之六耳猕猴显神通

序幕

近日,笔者空隙韶光下载了一个小游戏进行玩耍,游戏停止后没再管它,当下次点亮手机时,惊奇的发明在手机主界面中间有一利用保举轮播的悬浮窗。对付移动端技巧职员来说,手机就像自己的GF,这种匿名的地痞行径是决不能忍的。对其进行相识剖,发明其核心源码竟然只有一个APP类,经查询造访,此利用是一款盗版利用,运用多dex动态加载,反射,NDK开拓,数据加密,代码肴杂等多种技巧手段,这让我遐想起了我们耳熟能详的真假美猴王中的六耳猕猴,与正版利用比拟,也算是神通广大年夜了。

倾听察听

若何鉴定这款游戏是盗版利用呢,我们要像西纪行中的倾听一样伏地聆听。Android 开拓中每个利用都有自己独一的署名,为了辨别利用的真伪,我们来到正规的利用市廛进行了下载,对其利用的署名信息和证手札息进行了比对,比对的结果如图1-1所示:

图1-1 署名和证手札息比对

便是这样的一款盗版利用,它都不能默默的带有耻辱心的低调行事。在对其行径进行研判时,发明它申请了二十多项权限,这种行径增大年夜了技巧职员对它的怀疑。经技巧职员研判发明,此利用安装之后,会发送大年夜量的短信,此中很多是办事订购短信,会给用户造成恶意扣费其次,此利用还会在多处地方设置监听和内容察看者,会监听用户的短信信息,获取用户的手机号等隐私信息,给用户的隐私安然带来要挟;之后,便是“默默奉献”、“不辞辛劳”的频繁给用户推广各类利用,经研判多半为病毒利用,在用户碰触到广告悬浮窗时,直接下载推广的利用,给用户带来流量丧掉和精神熬煎。

猕猴之七十二变

上文已经先容过,此款盗版软件在运用技巧(此中包孕病毒反检测技巧)上具有多样化,在病毒行径上更是猖狂,犹如六耳猕猴同样具有美猴王的七十二般变更一样。下面我们就其技巧和恶意行径进行简单的阐发和先容。

2.1 猕猴之虚空其身

为了搞清楚这款软件的行径,首先必须是对其进行反编译,直接查看其源码,比较正版利用,看其做了哪些改变,想要实现哪些目的。打开其源码的一顷刻,有些吃惊,利用并未进行加固,代码却少的可怜,只有一个启动的APP类,为了防止安然利用检测,也算是费尽心血,我们称之为“虚空其身”。正版软件的代码布局我们未方便贴出,盗版病毒软件的代码布局如图2-1所示:

图2-1 软件源码布局

那么如斯一个利用肯定不是一个连Activity类都没有的源码实现的,我们就猜想它的源码或许是动态下载或者本地资本文件进行加载的。我们对其assets文件进行查看,获得的结果让人想哭,未标明文件后缀的文件近达300个,后经钻研很多照样加密文件,如图2-2所示:

图2-2 assets文件

为了找到其真正的源码文件,照样必要对其APP类进行阐发,根据DexClassLoader对其进行追踪和解密之后获得了下面这个字符串“assets/data/A816C5F3A07165F0D794BAE018C2D0C330734421”,由此我们可以知道,它是采纳本地资本文件进行了dex动态加载,之后我们找到资本目录下的A816C5F3A07165F0D794BAE018C2D0C330734421文件,添加dex文件后缀,进行反编译查看,获得了它的源码如图2-3所示:

图2-3 dex反编译源码

假如我们以为A816C5F3A07165F0D794BAE018C2D0C330734421文件就包孕了其整个源码,就有点鄙视此“猕猴”了,在进一步的阐发中,我们会发明它很多地方都在动态加载dex文件或经由过程反射技巧调用apk文件,这些代码文件都具有某一项零丁的功能,我们应用ROOT权限的ROM,从它本地文件files目录中可以看到,files目录文件如图2-4所示:

图2-4 files目录文件

2.2 猕猴之偷金窃银

作为技巧职员,在6.0之前的Android系统上运行安卓利用,是弗成能给你无关应用的权限的,以是第一次试玩照样对照友好的操作,然则假如用户在安装了此病毒利用之后,授权了短信操作的一系列权限之后,那就别想好好的玩游戏了,由于你会赓续的被发送信息的提示和短信授权提醒所烦扰。订购短信会不停持续的发送,直到你把此软件卸载,假如你的手机未改动短信发送的办事中间号码,最好不要随意马虎的考试测验,发到你“倾家荡产”。这种恶意扣费行径,如图六耳猕猴使出“偷金窃银”的手段,让你防不胜防。

下面我们对其源码进行阐发,直接切入其短信发送的地方,发明发送短信的位置有很多,这里探求一个发送短信,并注册短信监听的地方作为示例。在深入钻研中,发明在本地文件files中一个k9ls.dex的dex文件也为注册监听,操作短信的动态加载文件,操作短信的代码都一样,这里不再做阐述,发送短信的源码如图2-5所示:

图2-5 发送短信代码

根据手机发送的订购短信,数量和种类如斯之多,数据可能是从收集动态获取或者本地加密文件中存储,上面我们知道它的加密文件是很多的,颠末深入阐发,我们追踪到其是用SQLiteDatabase进行了存储,然则对数据库的操作地方均应用了代码肴杂技巧,操作SQLiteDatabase的肴杂代码如图2-6所示:

[1] [2] [3]下一页

图2-6 短信相关数据库操作肴杂代码

颠末对肴杂代码的处置惩罚,终极我们在利用本地文件中找到了短信信息相关的两个数据库,分手是076311815970064文件和msg_com.yf.y.f.init.plugin.dao.DBOpenHelper.db数据库文件,两个数据库中相关表的内容如图2-7和图2-8所示:

图2-7 076311815970064数据库相关表数据

图2-8 DBOpenHelper数据库相关表数据

着末,经由过程对本地本地文件和数据库的阐发,我们知道它是经由过程收集获取短信port和cmd,存储到本地数据库进行应用和记录。确定是收集动态获取之后,我们抓取协议包进行阐发,终极在地址http://p*.奸淫**.cc/index.php/MC/RP中获取短信内容的信息列表,共有22条营业短信内容。常常阐发此类病毒的安然职员都知道,此病毒是应用了此域名所有者公司的电信营业,在此不再对齐进行溯源阐发。短信内容获取的协议包,如图2-9所示:

图2-9 营业短信内容获取协议包

2.3 猕猴之“火眼金睛”

西纪行中孙悟空的“火眼金睛” 是用来识别妖妖怪怪的,而这里说的“火眼金睛”是用来窥测用户隐私的,此病毒在其运行时代,注册多个监听,监听和操感化户的短信,获取用户运行的task,并获取用户电话号码和设备信息。Android中获取这些信息都有其流程和响应API,这里不过多阐明,只是把响应代码作为示例枚举。监听短信、获取电话号码和获取sim卡信息(其他设备信息不再枚举)分手如图2-10、图2-11和图2-12所示:

图2-10 监听用户短信接管

图2-11 获取用户电话号码

图2-12 获取用户sim卡信息

2.4 猕猴之召唤妖孽

此病毒安装之后会在手机上,匿名频繁弹出悬浮窗,推广多个病毒软件和部分正常利用,当用户不小心触摸到悬浮窗时,直接进行推广利用下载。其推广的软件颠末研判,多半为病毒利用,犹如更多的“妖孽”一样平常。匿名悬浮窗轮播图运行界面如图2-13所示:

图2-13 匿名弹窗推广软件

我们对其悬浮窗推广的利用列表信息进行追踪,发明源码中并不能方便的获取到,由于其加密文件的数量和代码肴杂以及数据加密做的防护步伐,想要获取其推广列表并不是一件轻松的事情。关于是本地解密或联网加密文件获取照样联网直接数据获取,我们从最简单的联网直接获取进行入手,还好我们有强大年夜的协议包获取阐发对象,使用Charles发明其应用HTTPS协议进行动态的获取推广列表,得到的推广数据及其办事器地址https://q奸淫.奸淫奸淫.top/zutlkWrCr,如图2-14所示:

图2-14 推广软件获取协议包

从上面我们可以看到它的推广软件下载办事器和备用办事器地址分手为http://cdn.奸淫.奸淫奸淫.top/upload/和http://cdn.奸淫.奸淫奸淫.top/upload。为了大年夜家直不雅的感想熏染它的推广状态,如广告的id和type等,我们找到它本地存储的数据库qgg.db进行数据展示,如图2-15所示:

图2-15 推广软件本地数据库数据展示

3 猕猴出身之谜

躲避安然软件病毒检测,做到动态加载dex,代码肴杂和数据加密等多重技巧为了推广利用和营业订购谋取暴利的到底是何方神圣呢?就像那个永世评论争论的话题“六耳猕猴的出身之谜”。我们经由过程钻研获得的三个办事器地址,分手是https://q奸淫.m奸淫**.top/zutlkWrCr、http://cdn.a**.w奸淫**.top/upload/和http://cdn.奸淫.f奸淫*.top/upload,对其域名进行溯源追踪,能够得到响应的一些信息,如联系电话和邮箱,然则是否是创造者或者传播者都必要更多的证据支持。对域名的whois反查的结果如图3-1、图3-2和图3-3所示:

图3-1 m奸淫**.top域名反查结果

上一页[1] [2] [3]下一页

图3-2 w奸淫奸淫.top域名反查结果

图3-3 f奸淫*.top域名反查结果

4 如来护体金光

盗版病毒利用,不仅损害了开拓商的利益,也给我们用户带来重大年夜影响,针对这个问题我们响应的也从开拓商和用户两个方面给出安然防护建议。

开拓商在开拓利用时可以从以下几个方面做出安然防护:

Ø 对利用进行安然加固,采纳现在主流的安然加固厂商的企业加固规划。

Ø 对利用进行严格的署名保护,采纳利用重打包防护检测。

Ø 对源码采纳高档肴杂机制,禁止别人二次应用。

Ø对利用数据和协议包数据进行加密。

Ø增添维权意识,武断掩护自身利益。

用户在应用利用时,可以从以下几个方面避免此类利用:

Ø建议用户前进警醒性,应用软件请到官网下载。到利用市廛进行下载正版软件,避免从论坛等下载软件,可以有效的削减该类病毒的损害。

Ø关注”暗影安然实验室””民众,”号,获取最新实时移动安然状态,避免给您造成丧掉和迫害。

Ø安然必要做到防患于未然,可以应用恒安嘉新公司的APP要挟检测与态势阐发平台进行阐发对Android样本提守信息并进行关联阐发和检测。

Ø用户发明感染手机病毒软件之后,可以向“12321收集不良与垃圾信息举报受理中间”或“中国反收集病毒同盟”进行举报,使病毒软件能够第一光阴被查杀和拦截。

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包