转载对小绵羊的轰炸APP逆向分析

admin · 发表于 2022-7-8 21:25:07

( A3 e- F, k( D! ], ?0 r0 s; x* ^ 在网络上意外看到一款叫小绵羊的轰炸机APP，经过下载安装(这种未知风险的APP建议都在模拟器上去安装验证和分析功能，有安全风险问题模拟器删除即可)后确认，只要在APP界面的编辑框中输入手机号码，就可以进行对指定手机号码进行短信狂轰炸的效果的（已用自己测试号码验证过效果）。 $ p9 _9 [) B# H2 l

* X3 K* }' i7 d% K0 ` vshapes= 7 ?" S9 C* G9 m

+ U" ]+ [% i5 K; e% [ - \' L+ j* a9 U: q5 M: Y+ T7 J

* F; M. N* s5 o$ D' @0 f. m! Z 下面就以开发者角度进行解析下这个APP的功能的实现原理。 + ?# ^# ~2 \6 X+ @$ ~% n% Q

9 f% z W8 }+ K6 x: h ! }+ h$ D9 G! s. e0 G& H @

7 r/ h8 T$ R: U 基础信息 - Y; q+ O/ o. c) S0 H! d3 F7 o( e, G

. G; u6 \8 q3 z0 ` 拿到APP的一般做法，就是先对这个APP进行查壳分析确认，决定是否删除卸载APP还是继续分析APP，还好通过查壳工具(通过识别APP中是否包含市面上的加固产品的特有的so文件特征)一分析这个小绵羊APP是没有加固保护的，这样对APP的分析门槛一下子就降低了。 / S' ~7 X6 H, n# H

# J) v% k7 x' o vshapes= 6 s- w6 N$ G1 t4 M: ], ^. z

8 v# g( Z8 M4 ?% f( R; A, e % j0 r @% I: J

3 K; C5 W; N, F% o4 B- V+ P 通过使用jadx进行查看APP的整个组成结构和重点查看java功能代码，通过工具可以查看app主要有java代码 C++代码（so文件），资源数据，lua数据，签名信息组成的。 5 ~" D) q# t7 O9 e1 k7 T

1 u) r0 K! R! H$ A" T; U3 q% q5 c' w vshapes= % N9 S7 n2 |2 x1 d

h# ^1 }8 n+ _8 J$ J0 e ' l0 K; G' ?% u6 C& d

- g- f5 Z8 t0 V0 U! |' W 通过jadx工具查看，该APP的Java层部分代码采用android studio自带的proguard插件，进行对个别的类名函数名称进行做混淆保护，虽然这种混淆强度并不强，但是还是有很多APP采用这种方式进行对java层保护。只因这种保护成本低，只需简单的进行配置下就可以达到混淆效果。 3 [) m4 h' T$ [' v, b

8 r) L' \* _ u8 V; s vshapes= ' H0 [, A4 ~4 f ]/ c" a( j

9 n0 ^: e! Y, y7 h5 B& y " C8 L* {1 J1 k% S

$ [- X2 Q5 P3 n( Z( b 启动APP后，通过uiautomatorviewer(SDK中自带的分析控件的工具)工具进行分析该APP的界面控件信息，通过分析可以看到该APP的界面主要由1个EditText和3个Button控件组成的，也就是下面的截图信息。 : `0 m9 @6 ^9 S) d, E9 @+ l# q

) W$ d# K" T% k) p vshapes= ( e; [1 m- T/ u, w' Q! r6 |

4 Z$ J0 D$ d5 `" k9 E7 H # C) b) V: M- O; v7 v

1 c) e5 Q+ P) k/ C& C. X 下面是这个轰炸APP的界面背景颜色的设置，这个实现功能主要是以lua脚本方式进行实现的。 / p4 z! R8 I: t9 c; ]1 z5 K

, @& g( E* U% H5 y* w. @ vshapes= 1 n9 F* i, h+ @9 \" p* l" Y4 W

" j( {8 N! g# w 3 @" p* V; P, R+ \! b2 i5 s

# r, |% p0 w! X x 9 k6 c: u9 ?* N" m$ z

: y! }* d1 I+ ]: q4 a, V3 Y 签名信息 - |& `; S& ^8 D9 `3 G

# t$ y' J7 X0 z; b5 m5 J" A' ]# X 通过这jadx工具，可以看到这个APP采用的是V1的签名方式，我们知道V1签名是android最早的数字证书签名，为了提高验证速度和覆盖度在android7.0的系统中引入V2的签名，为了实现密钥的轮转载android 9.0系统中引入V3的签名。 ! D2 w& {5 U% @0 s3 @( P/ N/ P* T

+ C) ^/ [9 j d: [% z! I 目前APP中大部分都是通过V1和V2签名相结合的。并且这个在签名过程中要保证按照V1到V2在到V3的签名顺序，因为V1签名的改动会修改到ZIP三大部分的内容，先使用V2签名再V1签名会破坏V2签名的完整性。 5 m7 Z# X( D/ n% ~. q: F

; B6 L1 j; j' R 在android的app开发过程中，必须对app进行签名，不然过不了系统验证也就无法进行对app安装。 ; a$ P' [/ E5 B8 T1 t9 V6 y; E

4 f+ E+ N( G5 [ ~: q/ h vshapes= 6 Q2 t( W5 U4 m: O( m. k9 V0 y

7 b6 h, t# E0 w' L$ o' | ! } l$ p- C3 v \- }

2 y6 L K5 n. a9 n1 G! h android签名的数字证书的一般都是采用 X.509的国际标准。 7 x# O* y; }/ a. Q

7 `( f& V1 i; C 因X.509内容为第三方可信机构CA对公钥实施数字签名，故也叫公钥证书，数字证书在PKI体系中是一个表明身份的载体，除了用户的公钥，还包含用户公开的基本信息，如用户名、组织、邮箱等。 0 U2 v5 \# ?( @0 m2 T

2 a% F1 p# h7 @0 [ 下图是android studio工具中可以自己创建用于对APP签名的证书，可以看到它包含密码信息、用户名称、组织名称、地区名称、国家信息、省份信息、城市信息。 1 X6 d7 C; Q2 z$ C2 x o0 W" p

: A: n- O4 y( T! }0 O% G vshapes= 7 p% B# ]) x# p; @

! Z4 c6 k, C0 c: a T ! e2 z' J0 N( B% ^! I

5 `7 A3 E( W: G! j1 y2 y! E 同样也可以通过jadx工具，在META-INF目录下的CERT.SF文件中去查看确认签名信息，V1签名的主要关键字Created-By:, V2签名的X-Android-APK-Signed的关键字。 " S: e5 s9 `0 S) _

/ O) d* z" `' x) u vshapes= & V9 z: H" ^3 Y/ N n! w

1 L6 T7 X! X) [# K* |( r" ?* r! @ 、 1 S. ]1 l8 _, ]- F C1 c* I0 R- F' K/ A

8 H e" A S3 u5 z, b " Q! z$ |, S2 @( G

}0 H: n( V9 D. n* b* q 权限信息 / }- a' R+ k! S* b

1 S' b9 n( D5 y6 q 在这个AndroidManifest.xml文件中主要包含app中所需要的权限，四大组件信息，app包的相关信息（包名称、sdk目标版本、sdk最低版本等等） ; Y: D$ z$ c W0 Q0 c/ `0 \

, v5 P/ m, \0 C" M4 g# }( U8 j+ f android的机制下想要读取相关的信息，都需要向用户申请权限，这个不仅符合android的安全机制，也符合目前国内的安全合规，同样也可以通过申请的权限信息了解APP的功能需求。 ) C1 v8 _3 _8 \) J

M& i3 S8 g6 z4 I1 p vshapes= 7 u& E7 U1 @3 U2 V( r& J. J3 M

6 I4 @' R# D9 v2 I* H7 B4 R; C5 G ! ?+ G; Y& e- N: [6 z

1 e+ W9 q& g: o C 下面对这个APP的所有权限进行详解下： / w& ?* p5 e1 `

+ c9 O* s0 o; T- c6 }) | android.permission.INTERNET ：访问网络连接可能产生GPRS流量 & G+ y& p& q1 s$ `/ T- `

4 W% ~: ~" o) S: G android.permission.ACCESS_NETWORK_STATE：获取网络信息状态，如当前的网络连接是否有效 & u% B. k$ r3 S" I# e/ X8 a

0 m$ n/ ~" @, C s android.permission.ACCESS_WIFI_STATE:获取当前WiFi接入的状态以及WLAN热点的信息 $ m+ N$ h1 X; R1 s

( Y2 _9 g5 h8 p" f android.permission.WRITE_EXTERNAL_STORAGE：允许程序写入外部存储，如SD卡上写文件 2 a0 R3 V6 G# L$ ~9 R

! R2 z t6 s% ` android.permission.WRITE_SMS：允许应用程序写短信内容 1 s6 H/ q, S$ e" E) @5 c

& p0 M T. L# h8 j1 U1 [( H- h android.permission.READ_SMS：允许应用程序读取短信内容 / s$ O/ q4 u. Z# H

" J$ @8 {. j4 R% i8 R android.permission.WRITE_SETTINGS:允许应用程序读取或写入系统设置 4 ?, K( g% }6 u

! C0 i6 y z5 Q android.permission.CLEAR_APP_CACHE：允许程序清除应用缓存 $ h% B' t% @/ q: e6 S+ e! o0 L

% k; a l' C+ X2 G$ s7 T android.permission.BLUETOOTH：允许程序连接配对过的蓝牙设备 * l; i( P" B0 ?, ^3 j

, ]# G5 W. U. F% c E4 K1 F android.permission.VIBRATE：允许振动 / B4 i3 A& p3 Q& m2 G: N6 H

0 d! | p( ]: {& ` android.permission.READ_LOGS：允许程序读取系统底层日志 % Z5 r) O& i" B; w

8 m7 g4 d) h: t4 j$ c O android.permission.READ_FRAME_BUFFER：允许程序读取帧缓存用于屏幕截图 & V% C. n! W% n% S o4 O

8 _/ c( S$ u- w+ ^9 I& Y p % C3 \( {. C+ m% l$ @" k# Z" Z f; z

; m3 `1 l( e0 @5 B, |3 G7 G( P1 r 功能信息 $ N; }1 I( v+ E9 I# v3 d: S# p

2 ^: g$ X+ d, r$ R4 o8 A% C 3 e$ S: w" F2 a# S* ]5 E

* v( y8 |: c# D! ?/ ] 这个APP的主要功能都是在lua上实现的，从界面到轰炸功能都集成到lua上。 - @7 \$ b+ R1 r( i3 z

, }! o; x5 x5 s2 x4 c6 U, g( o Lua是一门用标准C编写的动态脚本语言，如果希望在android上使用，则需要解决2个问题。 5 j' Y+ g! I+ u0 L) L

: o$ x, l' J: `) c% W8 v 1、需要用JNI为Lua的C库进行封装，这样才可能在Java中使用。 1 ^+ s2 C8 M, l

N3 p+ _. H' A; z 2、由于Android系统开发所特有的系统环境限制，Lua三方库的动态加载机制和lua脚本模块的导入机制将不能正常运行，需要进行特殊处理。 . a* j! `/ ^0 }' u0 C- E

) ^: G/ \; c4 A1 Y( Z vshapes= 6 Z- F0 l9 R' p5 I8 p

7 |9 b7 R( t% _1 J o4 b* M * O$ x/ P$ F9 O# t

; |) w. n+ s- B" n 输入好手机号码后（不过这个输入都没做验证，随便输入数据都进行执行一遍功能），通过charles抓包工具进行抓取数据吧，可以很清晰的看到，点击轰炸后，马上执行发送406个网络数据包，这些数据主要集中在作者收集的406个各种类型网站进行发网络账号注册验证码信息的轰炸。 - F% ], g' N+ F! f4 z" d

U$ h1 ^+ T0 t2 y' z4 P- T* S vshapes= 5 C8 P! A& E6 ^% |4 ^

4 n6 z. d' N/ l) c & U7 M5 w, k, {

* w/ t* P. p5 d, [- Q, n+ V C 在lua功能中，有对vpn的判断，通过简单判断获取当前网络状态，并且判断网络状态是否属于vpn的状态，如果属于vpn状态，那么就往storage的目录下写入时间点设定，并且强制关闭APP，当在启动APP的时候会先判断文件是否有写入判断禁入的信息，如果有就不让启动APP。其实破解这个验证很简单，直接将文件的禁入信息清空即可。 4 ^3 }$ d' {* f, o

$ o* ?, h) [) r( R- x5 @2 f. E vshapes= / H, S8 r2 y& P8 W- P

1 u1 i- E, ]9 G- q$ w6 U" c, S 下图的这几个so是网络上lua和socket通用的so文件，并没有什么可研究价值。 & j. k0 n2 t! y" {7 A2 {

5 {7 _" o8 l& Q. o* j7 O vshapes= : m! B7 Z( {9 C

% x' {3 J9 i* c1 q a2 M0 g' f; ~9 U

$ ~4 g( G3 I1 E* y1 k. I* q" Z 通过分析libsocket.so这个so文件，可以确认采用的是luaSocket 3.0版本 ; H" c1 D* g+ [5 p. e X

3 c9 ^9 l9 U$ D1 O9 W% [ {* r% \ LuaSocket 它是 Lua 的网络模块库，它很方便地提供 TCP、UDP、DNS、FTP、HTTP、SMTP、MIME 等多种网络协议的访问操作。 2 K0 k# c, I1 @+ d' ^" {5 [

$ _5 O; e- i& T+ F1 J& r 这个luasocke一部分是用 C 写的核心，提供对 TCP 和 UDP 传输层的访问支持。另外一部分是用 Lua 写的，负责应用功能的网络接口处理。 ! J( o" N2 `% R$ \7 u' a

2 u3 f+ Q( y& _+ w 开源的luasocket代码可以参考学习下 ( _5 X7 o% U) S( P) r: \, T

' }! @0 d8 B6 x K6 ~ https://github.com/lunarmodules/luasocket N/ v( K0 N9 {7 n) a

' g E# Q! Z4 v$ e) { https://github.com/fengye/luasocket 8 g1 x: _# M3 Q! G

$ E+ |+ v0 |) b1 S% f& @. a) q 6 n) v/ w) z% @/ o7 ?

: J2 k4 a! x G9 W$ r vshapes= ' L0 A/ ^9 V$ ]+ |& @

! U" V' T3 G$ p. {5 [6 k . ~7 T' L h" c$ G7 }3 l0 A2 N

/ h- e y, K( k4 ?) x$ R 4 X: l5 q/ t' o% b8 h5 l3 Q

( H. K" ^5 y5 E% Z$ @% ? 总结 I* j) n6 n; k$ |( B, F

8 ?; z' t" W2 a0 Q- U 纵观整个轰炸APP的功能，分析这个APP都没有采取任何保护(加壳、反调试)就没有门槛了，基本也不需要涉及到脱壳、hook和动态调试这些操作，只要用几个(jadx、charles、ida、uiautomatorviewer)工具就可以将功能全部分析清楚。 , I+ ?* h5 b* W" l+ V# E0 G7 j

( t$ {$ \ M( B# ^0 A 感叹这个作者确实很用心的去做这个轰炸的功能，去收集了406个的各类型的网站进行手机注册功能。 0 M# W. [+ h/ F6 v4 o2 ^; j

5 F$ {$ j8 F, p 对于这种具有攻击性的APP还是要慎重下，免费APP功能的前提往往会有给APP植入后门或者病毒的存在。 8 M. e0 R9 i P- s

) y+ t+ d4 V$ u4 l2 V" C+ } 结束 ! ?" N4 _! m7 Z

0 L/ Z$ i: a# a 【推荐阅读】 1 _$ \" E/ ?6 G$ \ `1 m

+ h( W7 i, }+ A8 g6 v# k 对吃鸡APP的分析 ) L5 r% A6 U! j! P* M# j8 _: j7 @

1 m+ u0 W! G0 Z( l 你需要了解的APP安全 : @9 t" @* |1 t) u" I

/ C0 P0 v+ |$ s8 A 你需要了解的APP安全 7 E' O1 D4 H+ ^, b

' y3 {; S% Z6 M ; a7 X+ [# c' f* L4 q

		自动登录	找回密码
密码			立即注册