记一次逆向分析某诈骗APP的网络行为和加解密
今天是第一次在吾爱破解分享技术贴,最开始是在bi站看到了正己大佬发布的教学视频,后来进论坛也是抱着学习态度来的。现在对安卓逆向有了进一步理解。刚好今天拿到一个诈骗APP,进行了网络分析。我把这次分析记录下来。第一次写帖子案例比较简单,大佬勿喷。写的比较细,也有很啰嗦的地方,主要还是想把自己思路写出来。也欢迎大佬给提意见。环境:夜神模拟器android9+charles。已通过ADB导入证书到根目录。0x01
先用charles抓一下包看到有请求地址池的行为。初步判断APP是把自己的服务分发到大量的地址池里,之后通过请求一些节点,来获取地址池。这种方式从安全考虑可以抗ddos攻击,从恶意软件角度来看就是为了躲避拦截。那么如果想要拦截这个恶意软件需要从他们的节点进行拦截。
0x02
JADX反编译APP,搜索抓包中发现的节点地址,运气还不错,源代码里没有混淆,之前遇到的APP源代码里都把一些URL加密混淆,导致难以定位,目前来看这APP是个软柿子,可以捏。
0x03
来到调用URL的方法,这里看到他做了判断,根据不同情况,分别调用m1458f0和m1457g0方法。就是把aliyuncs.com的域名和非aliyuncs.com分别处理,这里说明一下aliyuncs.com的域名的完整URL是用的阿里云OSS存储服务,把地址池存储到阿里云服务器,之后去阿里云获取地址池来加载到应用里进行一些接口的连接。当时看到这里时还不知道aliyuncs.com的作用是什么因为响应报文被加密了,直到后面经过解密后才知道。继续往下走。
0x04
m1458f0调用了m1446r0方法传入了aliyuncs.com的url。m1446r0方法里看到,对aliyuncs.com的域名发起了请求并且把密钥和响应内容传到m2014a方法里。
0x05
来到m2014a是一段解密方法。在解密的时候遇到一点小问题,主要是IvParameterSpec初始化操作有点蒙,没搞懂他是用的ECB模式还是CBC模式,后来问了一下某位大佬,大佬告诉我是ECB模式没有IV值,直接按顺序解密就行。
0x06
这里用chatGPT写了一个脚本(非常好用),也是因为没有找到可以做预处理base64解密的工具。之后在charles抓包里找到请求aliyuncs.com的响应包,把密钥和密文复制粘贴进脚本里解密。
0x07
解密出来也是一堆url。这里可以确定了aliyuncs.com域名也是用来获取地址池的。
0x08
非aliyuncs.com域名传到m1457g0里,调用了m1444t0方法传入了url。
0x09
这里没有加解密过程,所以在最开始抓包里可以直接看到明文。
0x0a
在charles里还发现了另外一个URL,他在c1123类里,这个URL的使用方法和上面提到的一样,也是获取地址池作用。后来经过分析发现这个地址池是给一个图片上传接口提供的,好了本次分析结束。 massagebox 发表于 2024-4-23 09:59
管它用啥地址池,最终也是要链接到服务器呀?除非用反向代{过}{滤}理,主要还是加解密这里666
我的意思是,他自己后台服务器是分布式的,IP地址很多。有拦截需求的是拦截不完的,需要从他在阿里云加载地址池的过程进行拦截。 w220913 发表于 2024-4-22 18:37
想问下楼主 你看完正已大佬的视频就能做到逆向分析的吗?感觉你有java的基础呢
看完正己大佬的视频就明白了安卓平台运行应用的大致原理,最起码知道如何反编译如何从代码里下手啊,java方面我肯定是懂一点,但不是很专业,看不懂的地方就问chatgpt,慢慢捯逻辑被。
管理先别给我过审了,格式有点问题我重新写重新调一下 fengyutongzhou 发表于 2024-4-22 16:21
管理先别给我过审了,格式有点问题我重新写重新调一下
我帮你编辑换了一下行,但是还有2个问题,其中:
1、0x02 和0x0a 好像各丢了一个图?
2、文章底部好像有个图没插入到正文中,是不是正好是上面的?
其他的你再检查以下编辑修改即可。 Hmily 发表于 2024-4-22 16:40
我帮你编辑换了一下行,但是还有2个问题,其中:
1、0x02 和0x0a 好像各丢了一个图?
2、文章底部好像 ...
链接:https://pan.baidu.com/s/1IJBwzgazjZ5677yP4JcV1A?pwd=b35b
提取码:b35b
这是0x02的图
0x0a是两张图片在一个小题里,把最后一句话和最后一张图片换个位置就可以了。 fengyutongzhou 发表于 2024-4-22 16:45
链接:https://pan.baidu.com/s/1IJBwzgazjZ5677yP4JcV1A?pwd=b35b
提取码:b35b
这是0x02的图
编辑了看一下,下次可以自己编辑修改。 有点意思 6啊,学习 想问下楼主 你看完正已大佬的视频就能做到逆向分析的吗?感觉你有java的基础呢 感谢分享,支持,楼主也是研究诈骗app吗 比较喜欢看技术分享,谢谢加支持楼主