转载对小绵羊的轰炸APP逆向分析

admin · 发表于 2022-7-8 21:25:07

- T. W" N0 e$ {& F J- h+ n9 n 在网络上意外看到一款叫小绵羊的轰炸机APP，经过下载安装(这种未知风险的APP建议都在模拟器上去安装验证和分析功能，有安全风险问题模拟器删除即可)后确认，只要在APP界面的编辑框中输入手机号码，就可以进行对指定手机号码进行短信狂轰炸的效果的（已用自己测试号码验证过效果）。 # e: s& h- I0 i6 E( O v

+ T( h' i6 _- U1 V: a# f6 ?0 G& U3 D vshapes= 6 N! d$ S( f* x9 j

* G* M7 ~; x" A5 y( { % Q2 G$ r8 n d' @" @1 f8 Z, R

: Y7 j) \+ B$ e2 ^: L& p 下面就以开发者角度进行解析下这个APP的功能的实现原理。 ( F% w- P `! F& s' s$ A' B

$ Z- F8 ^, j9 B: t9 h2 s: l ; p5 T; J2 J7 N

?' D9 _+ f( ]0 R% @4 n) I' m 基础信息 ! L! a( o' p0 d# z" W6 ]* p4 V

5 N) u3 w( S' i( H- A5 A+ e, [3 { 拿到APP的一般做法，就是先对这个APP进行查壳分析确认，决定是否删除卸载APP还是继续分析APP，还好通过查壳工具(通过识别APP中是否包含市面上的加固产品的特有的so文件特征)一分析这个小绵羊APP是没有加固保护的，这样对APP的分析门槛一下子就降低了。 ( }; [/ e3 c5 `/ X( b* V% {

9 m) @( P9 x2 y1 x0 { m; ]' a vshapes= 6 a0 f* Z0 w: @' U! J

) d. [$ h1 q6 q, B 5 W6 l+ K1 ]$ |$ m6 a' W2 L

! k9 H& s' ]) G: G* I 通过使用jadx进行查看APP的整个组成结构和重点查看java功能代码，通过工具可以查看app主要有java代码 C++代码（so文件），资源数据，lua数据，签名信息组成的。 1 F" B3 \& T6 j7 p

7 q. o [8 D" S' p& n9 B vshapes= ! i& ~7 _+ j t E

6 W( E$ t) J0 V3 H( K* x, o# N 5 k, @1 m" [2 y$ d' P

( b% ?' n8 f$ H 通过jadx工具查看，该APP的Java层部分代码采用android studio自带的proguard插件，进行对个别的类名函数名称进行做混淆保护，虽然这种混淆强度并不强，但是还是有很多APP采用这种方式进行对java层保护。只因这种保护成本低，只需简单的进行配置下就可以达到混淆效果。 + y3 V9 ]" ]- }8 G' F$ k! F: R

2 a3 o; D1 r9 w$ X; C& u8 `. g vshapes= & Q& O) x; @- x

! E5 v# n0 {6 s# U 7 o7 I- [1 L' d* }

, @4 ?' P, f% r6 b/ L4 i 启动APP后，通过uiautomatorviewer(SDK中自带的分析控件的工具)工具进行分析该APP的界面控件信息，通过分析可以看到该APP的界面主要由1个EditText和3个Button控件组成的，也就是下面的截图信息。 " a- ~; s8 C/ @

6 ^- h- n4 H6 m# u- L8 M vshapes= , g8 f" h! Q2 q" ^# E8 v0 N

( |% A6 y& i5 T q$ T* J0 K( Q

6 A" j, @4 g' K5 n6 J; ^. o 下面是这个轰炸APP的界面背景颜色的设置，这个实现功能主要是以lua脚本方式进行实现的。 ) o" l8 A* d6 B" _; y0 q" j

- f, y; ]7 g& t. P vshapes= , C3 F; C/ g9 V1 i

( l( o, x) Q- z2 \2 n$ C8 r3 e - h& u u, U" ~3 i2 ]/ h# M8 t

% D; @/ @6 w" S; e+ i* z " O& o/ |4 ^& a" p3 g# o3 n2 j

! J% ^0 i% [5 S( n: n) `, b 签名信息 $ O6 s1 J$ A, e, o

. W/ q+ ?/ }5 w9 N6 b 通过这jadx工具，可以看到这个APP采用的是V1的签名方式，我们知道V1签名是android最早的数字证书签名，为了提高验证速度和覆盖度在android7.0的系统中引入V2的签名，为了实现密钥的轮转载android 9.0系统中引入V3的签名。 9 K/ U/ v) V0 ]; g/ D" U8 o; w9 G

, M- `' @; S- b: q1 d1 Q 目前APP中大部分都是通过V1和V2签名相结合的。并且这个在签名过程中要保证按照V1到V2在到V3的签名顺序，因为V1签名的改动会修改到ZIP三大部分的内容，先使用V2签名再V1签名会破坏V2签名的完整性。 $ L. q; i5 M1 Z: Q: ^' U/ w/ e/ l

- F( k! E! }7 i 在android的app开发过程中，必须对app进行签名，不然过不了系统验证也就无法进行对app安装。 ) D- S& A0 F6 D) f1 M3 G' C1 n

* x8 q+ r* z5 q: C' } vshapes= : g3 ^6 j; _6 W% N9 k4 y

, ?9 X. I' I( S . h) ^: V9 @' L k

& A$ y6 k" _$ }& r% }- e: R android签名的数字证书的一般都是采用 X.509的国际标准。 0 {. w( F0 |# Z

! z# y- Y9 B5 L( W/ D4 W% |" w 因X.509内容为第三方可信机构CA对公钥实施数字签名，故也叫公钥证书，数字证书在PKI体系中是一个表明身份的载体，除了用户的公钥，还包含用户公开的基本信息，如用户名、组织、邮箱等。 + p* M7 N# A9 _& i0 ?

! ?- A; J8 {! m3 v 下图是android studio工具中可以自己创建用于对APP签名的证书，可以看到它包含密码信息、用户名称、组织名称、地区名称、国家信息、省份信息、城市信息。 6 i# A: a3 r1 R# r% A9 T

, |5 k5 x9 z5 H3 }. w8 C vshapes= ! a9 C. W- k3 c6 P0 ]

! J, s; S% ]" ^' F' J; I # z* M, c8 t' [% P0 P

+ e3 m$ D: Z% b6 i! v 同样也可以通过jadx工具，在META-INF目录下的CERT.SF文件中去查看确认签名信息，V1签名的主要关键字Created-By:, V2签名的X-Android-APK-Signed的关键字。 7 W" c# i8 I: Q

" Z$ A3 |; V1 P- A$ J; S) n vshapes= 5 |# M% R4 p6 j/ F5 {

* j! q( Z$ |& Q7 Q4 j 、 " u% D8 c/ o2 }. ?* ^

( Y h5 i/ i# D, C( m7 w, ` 3 A7 n+ f" z# g6 R0 x

6 p" {/ n, e- N0 [+ b 权限信息 % t" ~8 C' U! L- N

+ |9 t0 K4 H: E+ [ 在这个AndroidManifest.xml文件中主要包含app中所需要的权限，四大组件信息，app包的相关信息（包名称、sdk目标版本、sdk最低版本等等） . V% \, r; ]. W% Q4 }

* L) z3 ~8 n$ Q) R0 w. F android的机制下想要读取相关的信息，都需要向用户申请权限，这个不仅符合android的安全机制，也符合目前国内的安全合规，同样也可以通过申请的权限信息了解APP的功能需求。 6 B* l' x* J2 M

4 H2 a3 ?& x/ T* F+ F9 ?$ Q4 ? G9 i vshapes= ) u9 ^' |/ R! Z5 ^8 Q( v4 I' ?) g& j

. @1 X! K7 ~7 ^9 _! M* U8 J 4 o9 r% u4 s- C3 I2 j

) j. r- O4 K% K( K# I 下面对这个APP的所有权限进行详解下： ) W0 ]! Q+ O. |( c. v

9 l% \* b0 ~' O- ]+ N, [* T! U: O android.permission.INTERNET ：访问网络连接可能产生GPRS流量 1 P9 I, @$ q! ~0 g5 ~ m; L5 O. i

! k* b' G- p: O: {, I7 E android.permission.ACCESS_NETWORK_STATE：获取网络信息状态，如当前的网络连接是否有效 & P4 ~% \! ~/ e2 s0 C2 w

! K/ L+ y/ i% h) F( P6 i android.permission.ACCESS_WIFI_STATE:获取当前WiFi接入的状态以及WLAN热点的信息 4 z, i% B. ]3 O5 q" Q

8 C- D+ `9 w L android.permission.WRITE_EXTERNAL_STORAGE：允许程序写入外部存储，如SD卡上写文件 0 e" S: e/ O' T% n9 `0 z

, j2 U+ p( L3 f% I$ J android.permission.WRITE_SMS：允许应用程序写短信内容 1 `! M3 j, L% i5 o0 D4 J% `

+ L, H% `) \" y9 M/ f! m6 g android.permission.READ_SMS：允许应用程序读取短信内容 ) c! D0 `9 g* g5 b) n

# x$ q6 \8 i: n5 b. _ android.permission.WRITE_SETTINGS:允许应用程序读取或写入系统设置 * _, h2 \6 w) e! V8 s6 d

1 M. P+ D1 w( w+ K% J; Z( c android.permission.CLEAR_APP_CACHE：允许程序清除应用缓存 9 h+ {6 _- _0 f3 v, ~7 x

2 }0 }, x0 U) \5 Z android.permission.BLUETOOTH：允许程序连接配对过的蓝牙设备 ! K6 v: f2 g( X7 u4 {4 M

0 Z2 c+ B) _5 \0 Y$ w1 M android.permission.VIBRATE：允许振动 " \9 [6 D, l& {# U; R k, A

4 x7 p3 {% }: X+ k$ o android.permission.READ_LOGS：允许程序读取系统底层日志 + D# ~, p4 }" b( |9 z) d( s

4 L" [( N4 Y8 G android.permission.READ_FRAME_BUFFER：允许程序读取帧缓存用于屏幕截图 ) l4 W: I: z" [0 `% Q" M- q) X1 B

7 u# X6 S! n( f% b& Z+ p " f+ j' l5 k$ P2 d, m

7 J& ]+ V L: X0 y! P! l, P 功能信息 e7 n, Q9 l. j4 c s3 J% Q) V

( R. R; N6 i* g K) K3 G 1 V% O) j4 a' u* j

% a& z; |. A: `0 ~ 这个APP的主要功能都是在lua上实现的，从界面到轰炸功能都集成到lua上。 6 a. ]: G8 f+ Q0 Z+ v

9 Y- @4 Y6 V: Y# Q' t6 P, o Lua是一门用标准C编写的动态脚本语言，如果希望在android上使用，则需要解决2个问题。 . A" e- K$ F* A) X6 A

% q% y% \* f: ]/ f% G. z3 h 1、需要用JNI为Lua的C库进行封装，这样才可能在Java中使用。 # Z/ _- X- h& G* O% F: _/ t1 c) r3 o+ T

6 Y' e' Y& b; x! @" Z' A 2、由于Android系统开发所特有的系统环境限制，Lua三方库的动态加载机制和lua脚本模块的导入机制将不能正常运行，需要进行特殊处理。 7 h" J! S% k3 Z+ w. j3 A* m: a0 V

; {4 F* w p, t) f3 D9 x vshapes= ! N8 P) K3 d0 b: |; s

4 |( T+ o* Y' O5 b0 J2 \ & D0 J* X9 P( X' F' `8 O6 m6 R. y: D

0 V7 G W) _: D6 a; n 输入好手机号码后（不过这个输入都没做验证，随便输入数据都进行执行一遍功能），通过charles抓包工具进行抓取数据吧，可以很清晰的看到，点击轰炸后，马上执行发送406个网络数据包，这些数据主要集中在作者收集的406个各种类型网站进行发网络账号注册验证码信息的轰炸。 ; j" F# Q& M, w& C( [7 `

8 [# v8 \. v4 p. m3 q, {6 N vshapes= . v3 @" J/ [. L6 S" {

: ]. I3 O, q1 X " G* p& w8 W! K1 p

5 Y: A; @5 O9 @6 S" N) y9 P" T& r 在lua功能中，有对vpn的判断，通过简单判断获取当前网络状态，并且判断网络状态是否属于vpn的状态，如果属于vpn状态，那么就往storage的目录下写入时间点设定，并且强制关闭APP，当在启动APP的时候会先判断文件是否有写入判断禁入的信息，如果有就不让启动APP。其实破解这个验证很简单，直接将文件的禁入信息清空即可。 : p& q0 r; I ~6 }0 M3 B3 i

! e; ^8 J6 V0 M vshapes= ! [8 i( o, `/ O9 \7 Z/ W: g

+ Z( @+ u, v9 m9 Z+ g. T 下图的这几个so是网络上lua和socket通用的so文件，并没有什么可研究价值。 , m F/ P! k6 l; w/ e

# W5 m) z0 |" ^+ `3 _ w vshapes= - R& |; ~: g$ y; t# _8 ^+ {

+ H9 `' N) n2 |4 E7 O % s' S( `% u6 ~

5 m5 v% Q1 o+ u 通过分析libsocket.so这个so文件，可以确认采用的是luaSocket 3.0版本 1 B' h. q" z5 g# G, f

0 k% y* U% w' y* V$ f LuaSocket 它是 Lua 的网络模块库，它很方便地提供 TCP、UDP、DNS、FTP、HTTP、SMTP、MIME 等多种网络协议的访问操作。 ! E1 S3 f. t3 C7 X

" F# W- @3 F; J. h) B 这个luasocke一部分是用 C 写的核心，提供对 TCP 和 UDP 传输层的访问支持。另外一部分是用 Lua 写的，负责应用功能的网络接口处理。 : [/ o- |9 N: F

p! b2 ^. [7 k- } 开源的luasocket代码可以参考学习下 9 X6 B$ P0 P. J& o! u* }$ G

' P6 C( k: D6 C- S https://github.com/lunarmodules/luasocket 1 p6 Z5 b H5 S3 Y

# L+ S+ _% G! N* _ https://github.com/fengye/luasocket $ r' t k& ~( {9 G4 Z- U

5 i# Y3 V/ _& n* Z+ @, P ; Q, }9 N4 |9 m

! T4 w& \# @8 g. R/ t vshapes= 2 r% a% H' Z, h

* |2 E, c, m: e' M 1 C! J* U+ |9 u9 i2 e9 t0 {3 p+ v" B

3 ^/ X5 \; m- f+ e, o+ n + ^- j2 w5 b) Q1 c2 B" {0 u" F$ D& Y

4 g: _3 M/ H; J& [% ~ 总结 & [* y; f7 M3 X- _

3 R6 Q/ u; w4 _/ @( {% _& Q- y% u! n1 e 纵观整个轰炸APP的功能，分析这个APP都没有采取任何保护(加壳、反调试)就没有门槛了，基本也不需要涉及到脱壳、hook和动态调试这些操作，只要用几个(jadx、charles、ida、uiautomatorviewer)工具就可以将功能全部分析清楚。 ! U! f/ J- f" b

* G4 w2 l/ T @* [9 P% h0 Z 感叹这个作者确实很用心的去做这个轰炸的功能，去收集了406个的各类型的网站进行手机注册功能。 8 D# B% X% d5 n

- ]+ w; t, c* Y, }$ V 对于这种具有攻击性的APP还是要慎重下，免费APP功能的前提往往会有给APP植入后门或者病毒的存在。 / ?+ j- v- B5 P) e# h8 |( c$ d

8 X/ i! \; ^' j9 d 结束 & K- p7 H4 c% L4 b; @4 G7 K' Y

/ K& K* G3 {! m1 {7 F" ~ 【推荐阅读】 # [5 i: F7 o3 w" h) K$ [

4 [2 w, Q7 `7 g) y6 Z' @ 对吃鸡APP的分析 - ^0 X7 s% }: y% z6 u

) m8 G# Q$ }2 u1 c* Z6 s- p 你需要了解的APP安全 ?% t, N; h4 f

5 s7 ]4 m4 \$ a. X2 h 你需要了解的APP安全 , T7 z$ F1 H1 \

% A' |" h: F! f$ s 5 `6 a- U) M* L4 ^% f

		自动登录	找回密码
密码			立即注册

转载对小绵羊的轰炸APP逆向分析

浏览过的版块