转载对小绵羊的轰炸APP逆向分析

admin · 发表于 2022-7-8 21:25:07

8 H k& H0 ?* J3 x) ~ 在网络上意外看到一款叫小绵羊的轰炸机APP，经过下载安装(这种未知风险的APP建议都在模拟器上去安装验证和分析功能，有安全风险问题模拟器删除即可)后确认，只要在APP界面的编辑框中输入手机号码，就可以进行对指定手机号码进行短信狂轰炸的效果的（已用自己测试号码验证过效果）。 : ~. @1 S6 z5 L2 P2 l; H9 ?) [

5 t+ m6 i1 L; n# P) s0 X8 L6 x vshapes= y5 q# w+ A$ e& g

8 D. k! _6 g" h, b( _ 8 J7 y a1 A7 X7 S4 O1 u

& p5 D. h' v2 A. e* l8 S3 }- d 下面就以开发者角度进行解析下这个APP的功能的实现原理。 ( a3 }( w, `* {0 z* f- A

% h1 y& }6 r3 L7 J# B9 \- X ) Q. e0 l x* [" e- d1 j. Z9 L/ e0 ]

' [3 f3 H* m i0 Z" p' N+ {; }9 s% _ 基础信息 1 K- U: B" N3 |+ V. ?

7 b; w( l h2 B! d 拿到APP的一般做法，就是先对这个APP进行查壳分析确认，决定是否删除卸载APP还是继续分析APP，还好通过查壳工具(通过识别APP中是否包含市面上的加固产品的特有的so文件特征)一分析这个小绵羊APP是没有加固保护的，这样对APP的分析门槛一下子就降低了。 , V1 z2 {9 W9 `" Z& F) [+ e

, v0 J4 r$ e* a vshapes= & E3 Y6 H' P% v# V0 [0 S- y

- Y1 [: S" _# [; {6 ^. A5 Y8 z% o 6 r$ Q" f+ y4 K( H: v- n

4 b# I( M A9 w3 R; j 通过使用jadx进行查看APP的整个组成结构和重点查看java功能代码，通过工具可以查看app主要有java代码 C++代码（so文件），资源数据，lua数据，签名信息组成的。 5 w, O1 L: q3 v3 W; S }3 S6 a

9 c- w) R2 A+ q1 \/ H+ _ vshapes= * f) k" I3 M" ?/ K ~1 Q! z4 t

2 X' m" ~ z8 b2 q1 t9 v/ Z0 R . o* Y% F0 g7 A3 s

2 H% Z2 `" L* Y5 H 通过jadx工具查看，该APP的Java层部分代码采用android studio自带的proguard插件，进行对个别的类名函数名称进行做混淆保护，虽然这种混淆强度并不强，但是还是有很多APP采用这种方式进行对java层保护。只因这种保护成本低，只需简单的进行配置下就可以达到混淆效果。 2 ?( a+ `3 e, [; g: G9 z0 H9 B2 L

1 w" p) U' d4 P& j vshapes= * ]' n5 F! V$ N1 u" Y" m( X, o" i

9 S' N7 f: m, ^5 ~( W3 m( | : q" k o+ U8 D2 X4 B. P5 Q1 b5 \

! a3 I& _% w. @& ^1 H( f+ s 启动APP后，通过uiautomatorviewer(SDK中自带的分析控件的工具)工具进行分析该APP的界面控件信息，通过分析可以看到该APP的界面主要由1个EditText和3个Button控件组成的，也就是下面的截图信息。 - T# A5 T. s, M* X* C

3 |1 n' J! [$ S5 E! q4 v9 | vshapes= ; d3 u- V' c( E6 R

/ B5 I( { R; `( W0 u 9 Z; W( {/ c8 L

0 ?' v5 ^/ }: i 下面是这个轰炸APP的界面背景颜色的设置，这个实现功能主要是以lua脚本方式进行实现的。 + s T$ G1 S) n; `2 s# m

5 ^! w) }0 |6 U1 G: D5 Q5 \; f% s7 ] vshapes= ) q4 T7 d8 E! |) J

5 Y' G& v* K* q# t- [ - V' ]/ ]9 o. m& d

/ N. C; W8 {6 [% J0 j3 s# _ / S0 ^5 G7 S2 [

5 S. e7 Y% _/ T( U m4 E" x9 t2 u 签名信息 0 O! P/ |6 P7 H9 j. A. N) P! ^

4 @% R% N, [4 ]- p+ V 通过这jadx工具，可以看到这个APP采用的是V1的签名方式，我们知道V1签名是android最早的数字证书签名，为了提高验证速度和覆盖度在android7.0的系统中引入V2的签名，为了实现密钥的轮转载android 9.0系统中引入V3的签名。 $ z* ]9 B' v# A( ]$ }, m( k

/ m3 w& _$ X: _: q5 B 目前APP中大部分都是通过V1和V2签名相结合的。并且这个在签名过程中要保证按照V1到V2在到V3的签名顺序，因为V1签名的改动会修改到ZIP三大部分的内容，先使用V2签名再V1签名会破坏V2签名的完整性。 ( R6 l8 \* @& y5 D! S) g4 _

9 V; Y$ r: W" Y3 r 在android的app开发过程中，必须对app进行签名，不然过不了系统验证也就无法进行对app安装。 % M2 P! [! G7 L/ j2 N

7 c8 c! i, t9 J' ]* C! b vshapes= ! }! F; V4 N5 i$ i) g

: t L. W" J9 z+ e ; H: Y# c, B6 r. M: P

8 Z8 q9 o1 C, p1 i, c. F$ | android签名的数字证书的一般都是采用 X.509的国际标准。 9 j4 l4 q9 i. \' u

2 F6 ?) _8 |/ Q4 \! a$ z# i. ?- Q 因X.509内容为第三方可信机构CA对公钥实施数字签名，故也叫公钥证书，数字证书在PKI体系中是一个表明身份的载体，除了用户的公钥，还包含用户公开的基本信息，如用户名、组织、邮箱等。 2 ]# P. Q7 B" m- s

# \# U3 d4 q2 o 下图是android studio工具中可以自己创建用于对APP签名的证书，可以看到它包含密码信息、用户名称、组织名称、地区名称、国家信息、省份信息、城市信息。 ; k9 t! w# A h

7 E8 N6 j) a/ i6 A vshapes= . U! E3 ]( k. {. D9 I

4 V- D$ J4 L5 i2 \. J5 x# r e) W ' s4 g& F0 l [4 F4 g' Z5 m& Z, b

l3 S4 F8 H) ? 同样也可以通过jadx工具，在META-INF目录下的CERT.SF文件中去查看确认签名信息，V1签名的主要关键字Created-By:, V2签名的X-Android-APK-Signed的关键字。 ; d" T$ T+ \2 J+ i9 |) Y8 |/ k- s8 D

9 J7 J' {$ f6 A# E% \2 i vshapes= 6 M ^& c u J8 ^5 X2 U

8 H8 o/ [: l" }( @" v% |) y2 E2 j) E 、 ! |. U3 y2 x% T, V0 m% J3 o( A

6 Q$ L$ J6 v3 K1 W a/ c) T8 s% g$ L0 ~. h. s( s

! ]% O/ w2 m0 f2 y- s 权限信息 . I& e, _: x: ?" Y2 q3 w% l

* b, h5 k; f! J) F; N) C1 Q 在这个AndroidManifest.xml文件中主要包含app中所需要的权限，四大组件信息，app包的相关信息（包名称、sdk目标版本、sdk最低版本等等） $ x+ z4 O' [3 {7 I/ j# M5 G! J

5 e; V* \6 W, O+ { x6 h: I4 L: G# H$ \ android的机制下想要读取相关的信息，都需要向用户申请权限，这个不仅符合android的安全机制，也符合目前国内的安全合规，同样也可以通过申请的权限信息了解APP的功能需求。 - V! P& v6 ~& Y6 _3 r3 h o

# a8 W8 ^9 K5 {6 O, i8 U/ e' f vshapes= / N2 R. {8 F) f/ G8 p

# P7 E7 j) R J5 \8 ~9 e- \, M! b 0 H+ @7 c$ [$ d

9 k W! w' w2 f0 ?0 Y x 下面对这个APP的所有权限进行详解下： % w/ @* Q+ _! ?3 m% \6 @

& s" k1 S) F7 Y android.permission.INTERNET ：访问网络连接可能产生GPRS流量 ; p. \' e" M# D- ^

1 Y& z( B% s% D& f android.permission.ACCESS_NETWORK_STATE：获取网络信息状态，如当前的网络连接是否有效 7 k) I j$ L4 X$ t9 Z! Y7 h

. X9 Q0 v+ W. q9 U. b android.permission.ACCESS_WIFI_STATE:获取当前WiFi接入的状态以及WLAN热点的信息 4 B1 ^1 m8 \3 k; E- z1 L& R" L

2 t4 f3 ^) W* |/ [3 j" F @* x( d android.permission.WRITE_EXTERNAL_STORAGE：允许程序写入外部存储，如SD卡上写文件 . J4 J% W0 G: c

) d- N4 R8 K- y. U( m5 S- U& y android.permission.WRITE_SMS：允许应用程序写短信内容 ( l# b4 o/ s: ^0 m, A2 y8 Y( ?

' \/ W# a+ k3 N+ N android.permission.READ_SMS：允许应用程序读取短信内容 0 Z) k4 g: x+ `2 Y8 i/ q7 _

" _% H- V& d$ K& d6 F android.permission.WRITE_SETTINGS:允许应用程序读取或写入系统设置 " w. ^8 @- g7 l6 r9 ?, a

+ p- c9 \8 R6 [7 X4 A( _' A$ { android.permission.CLEAR_APP_CACHE：允许程序清除应用缓存 z4 N3 {0 q( L2 T8 y+ I

7 \( V0 T8 [: j8 r% Z8 H o& S android.permission.BLUETOOTH：允许程序连接配对过的蓝牙设备 # u* b2 x" D/ D" w- V" q7 U# F7 g

0 g2 R' L& V2 C7 S7 z' o4 V android.permission.VIBRATE：允许振动 7 b8 \% j: e& k$ i. ~

& @1 ]) y3 L( m. l6 k9 | android.permission.READ_LOGS：允许程序读取系统底层日志 : z* u8 b, X, Y" K! r' @$ [

) k& Z& t J% n) L& e android.permission.READ_FRAME_BUFFER：允许程序读取帧缓存用于屏幕截图 & n1 h" |7 P, M" t$ ?+ ?

$ j/ I2 J# T8 z. Y. O! e1 E & ^) A, C, {: z& w* v* ~' B7 }( v

7 k6 `7 f0 ^, ~6 ^, d' L0 v+ { 功能信息 + Z8 H) L6 k. {% W

& u/ b% [; Z; a* q( d$ e* [( j ; Q" r* W/ L( c& K

; i) z7 R I% x$ q- \. a' N' @ 这个APP的主要功能都是在lua上实现的，从界面到轰炸功能都集成到lua上。 : Z" q: z. E& |) Z, }1 M

+ a: j; U& O5 q2 [' _$ | Lua是一门用标准C编写的动态脚本语言，如果希望在android上使用，则需要解决2个问题。 ) C& ]: t+ ~1 O `' _/ d

( f; K/ H' O! {3 e" e 1、需要用JNI为Lua的C库进行封装，这样才可能在Java中使用。 0 z- R' N6 E& K4 r. C" q% i

7 f; L Y$ Q* Y8 U1 q, [! m 2、由于Android系统开发所特有的系统环境限制，Lua三方库的动态加载机制和lua脚本模块的导入机制将不能正常运行，需要进行特殊处理。 3 ]7 I2 {) `) f/ h! D$ x: F" d

. C* { k- D& |9 F3 {1 {6 V vshapes= . s* H s* V1 @& S; S" m3 K

% T3 v6 A8 Y' l3 m$ j/ x + x {/ j. {# k. h ]- r

4 W5 [3 t- u- W3 g 输入好手机号码后（不过这个输入都没做验证，随便输入数据都进行执行一遍功能），通过charles抓包工具进行抓取数据吧，可以很清晰的看到，点击轰炸后，马上执行发送406个网络数据包，这些数据主要集中在作者收集的406个各种类型网站进行发网络账号注册验证码信息的轰炸。 ; U F0 Z% Q8 V: U

3 I9 z7 I/ X+ h3 k vshapes= $ J; x+ T# K6 [% N. i* J& ?

" g. x* y7 n2 r& C/ ~ o5 k 2 [- S6 k* E; {* b; N6 |- X; ]

" }7 w; n0 o/ F/ E4 u$ a 在lua功能中，有对vpn的判断，通过简单判断获取当前网络状态，并且判断网络状态是否属于vpn的状态，如果属于vpn状态，那么就往storage的目录下写入时间点设定，并且强制关闭APP，当在启动APP的时候会先判断文件是否有写入判断禁入的信息，如果有就不让启动APP。其实破解这个验证很简单，直接将文件的禁入信息清空即可。 * H# S" d6 F0 v5 E- D8 h+ b" y

) }3 p0 ?, ^1 P& i' X: G$ ]( O vshapes= 3 Z5 n: e) ?# o w+ ~8 u

( K. x: Z) X# R& [* e, P 下图的这几个so是网络上lua和socket通用的so文件，并没有什么可研究价值。 6 G9 {. O; F) z9 B7 }

; ^* C2 q3 q3 Z& s) \4 p vshapes= 8 p; ~$ f+ R- B: [ O' U

0 N. N0 L2 \/ x# ^" a' X / v; W1 @6 Z# y) q

6 B$ w. _: V2 O4 a5 L 通过分析libsocket.so这个so文件，可以确认采用的是luaSocket 3.0版本 " l/ S9 w8 K4 E; i

+ E2 y5 x; j0 m8 {( c; B LuaSocket 它是 Lua 的网络模块库，它很方便地提供 TCP、UDP、DNS、FTP、HTTP、SMTP、MIME 等多种网络协议的访问操作。 & t9 [1 z5 H7 u9 ]

; H/ D/ q7 y% o3 Z+ ^1 m/ ` 这个luasocke一部分是用 C 写的核心，提供对 TCP 和 UDP 传输层的访问支持。另外一部分是用 Lua 写的，负责应用功能的网络接口处理。 ' v; d2 f9 W) y% }0 [5 b

) A! r5 r1 S( |* l: R 开源的luasocket代码可以参考学习下 ; D- C7 F, S8 A/ E: ~

# a" ^/ g) f; c https://github.com/lunarmodules/luasocket ( v k/ N- z) e8 E8 j

) q# |9 L) U6 Z) i ^ https://github.com/fengye/luasocket # ^0 E/ k2 @# Q3 V

F* }! d) D# M% A, P : b( V- |: P9 @! ^

& \; m& Y& \6 x7 C, ` vshapes= 0 q+ _& m7 v4 i* v1 R9 o, N

v/ W1 p) j9 M# L( \1 f 1 V3 y0 R. V' p/ o4 Z, ~

4 l& g$ Z( S" O B * k5 u9 M1 H S9 o$ y7 Y

8 C$ r/ ~2 D4 I. u9 f0 v 总结 ; Y1 ^& U! s' C

$ e j& u: k3 L7 Q9 N2 {$ E 纵观整个轰炸APP的功能，分析这个APP都没有采取任何保护(加壳、反调试)就没有门槛了，基本也不需要涉及到脱壳、hook和动态调试这些操作，只要用几个(jadx、charles、ida、uiautomatorviewer)工具就可以将功能全部分析清楚。 0 Z3 H4 q( J- H

& Z/ a, l) `5 `! b 感叹这个作者确实很用心的去做这个轰炸的功能，去收集了406个的各类型的网站进行手机注册功能。 % O' K( \5 J& G3 J+ a7 r

( G* B: q3 s3 O0 l4 T/ [ 对于这种具有攻击性的APP还是要慎重下，免费APP功能的前提往往会有给APP植入后门或者病毒的存在。 8 T# g' _, V6 w/ k7 P

. N) d1 t5 @3 Q. ` 结束 7 K* F( ?) B* a! |. W

+ b0 J) \+ A- M1 g8 q 【推荐阅读】 + w" D' S7 x7 J0 d

2 H$ U# R) H* p% T, m& W6 Z3 m' J& h 对吃鸡APP的分析 4 N) {& R! t" x- q7 k

+ w i2 J: e- y; d( a% ]' x 你需要了解的APP安全 4 F3 ] V3 {" z2 d

0 }! b* `" }+ ~% S 你需要了解的APP安全 2 p. d) P- v6 b, z2 d: `, e

6 {7 k( ?; O$ I8 Q( o3 ~3 z0 q 7 i g2 C9 a" j6 J

		自动登录	找回密码
密码			立即注册