吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10293|回复: 30
收起左侧

[Android 原创] 逆向分析某QQ恶意自动邀请加群APK

  [复制链接]
boomsoap 发表于 2019-5-22 17:39
本帖最后由 boomsoap 于 2019-5-23 18:48 编辑

一:基本原理
APK通过调用了qq登陆并实现了使用者的QQ群的读取,让使用者自动的邀请指定的QQ号,而指定QQ号再进行群发消息传播有害信息和诱导apk下载。
1.jpg
进入apk只有一个背景页面(这背景页面像极了快手)和提示框,点击取消再次弹出提示框,点击立即登陆则会调用qq,调用以后会以你的名义在你的常用qq群中拉人。







二:Android killer 反编译
2.png
这款apk找不到StartActivity的入口,不能直接从入口读取到smail反编译后含有大量的so,so的名字为jiagu.so。而smail文件中的qihoo360说明了该应用使用了360加固。
三:脱壳qihoo360加固
这次使用现成的Xposed脱壳模块来进行脱壳。dumpDex-Android脱壳Xposed模块来进行脱壳。
模块源码地址:https://github.com/WrBug/dumpDex。安装模块后重启,安装apk后直接在data/data/包名下生成了dump文件夹Dump文件夹中是使用xposed模块以后得到反编译后的dex文件 3.png
这么多的dex文件中只有一个是相应的源码,一个一个的试,看谁的内容比较像。一般大小和apk差不多的有很大可能是
三:jadx源码分析
通过jadx直接打开dex文件就得到了源码
4.png
虽然左边包名不能显示中文,但是源码中有很多中文,而e4a.runtime这个包也告诉我们这个apk是用易语言写的。虽然是混淆过的,但基本还是有可读性。
5.png
包名是一个浏览器的包名(假装自己是个浏览器),这里有这个apk接入的cookies服务器地址。或许从这个服务器能找到恶意软件作者的相关信息?还接入了友盟来对用户进行统计。这个叫“公共模块”的包里集成了很多函数,甚至还有获取好友自动加好友分析可以发现很多的代码被bi.b这个方法赋值了
6.png
但应该是一个向用户请求读写sd卡的权限的语句相对详细的代码就是自动加群的代码。
7.png 还有app主要窗口的代码,主要的代码分析都在这里进行分析。

8.png
不知道是不是混淆方法搞不定中文,易安卓做的app反编译后尽管混淆了,可读性还是可以。中文的类库和一些函数名并不能被混淆。
四:加群协议分析
9.png
f176qq是本次操作qq,f158qq是一个qq数组f185url是加好友urlf177是本次qq群,f180是一个qq群数组
10.png
获取到了一个浏览器参数,我认为这里这个浏览器参数应该是调用qq登录时的url.
11.png
因为在这里对这个“浏览器参数”进行了提取,其中就有keyindex,clientuin,然后再用一个cookies服务器地址传上去参数url_ret取得返回的网页源码。获得qq空间cookies,token.。 12.png
这里了通过一个llk1.m248的方式截取了cookies。可以看出这是典型的cookies欺骗攻击方式,虽然cookies不会暴露明文密码信息,但是只要截获到cookies向服务器提交一系列请求就能实现对qq账号行为的控制。
13.png
可以看到恶意软件作者在好友加群等操作大量的运用了在上面方式得到的cookies,通过cookies实现了加群,提取群等操作,但由于代码混淆,并不能再深入的了解截获的原理和运用的具体原理。
五:总结
1可以看出有些恶意软件虽然安装得到时候也不会报有害软件,但是如果调用登录的接口,截取cookies则会使用你的qq号做别的事,所以没事不要下载来路不明的apk.
2 cookies存储用户的信息还是有安全问题,cookies欺骗的攻击方式没有得到有效防护,应该得到重视。
3 被一些加固插件加固过的apk可以尝试用dumpDex-Android等直接获取dex文件,并用jadx读取源码。

apk样本在这里,断网或者登录qq小号调试:链接:https://pan.baidu.com/s/1zRIKUXOIjjNw7yc7bYfl0A 提取码:55ax

免费评分

参与人数 15威望 +1 吾爱币 +23 热心值 +12 收起 理由
qtfreet00 + 1 + 9 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Ternary + 1 + 1 用心讨论,共获提升!
椎名牧 + 1 + 1 用心讨论,共获提升!
TIS有趣的灵魂 + 1 + 1 用心讨论,共获提升!话说lz的软件有点...
N-Alan + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Likey + 1 + 1 今天剩下的分给你那张图了
独行风云 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
111152lt + 1 + 1 原创不错 学习
itmaple + 1 我很赞同!
TheFeng + 1 我很赞同!
又红又专 + 1 我喜欢那个软件求名称
kingering + 1 热心回复!
夏雨微凉 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
xiexie + 1 用心讨论,共获提升!
GenW + 3 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

莜琴丶AOA 发表于 2019-5-23 14:07
巧了   前几天我就用过这个软件   还好多了个心眼用小号登陆的     目前就知道会拉那个人进所有能进的群   潜伏几天后就发广告      目前小号空间正常  账号也正常   
1B65FF8769E6570BF621BC148F77C654.jpg
夏雨微凉 发表于 2019-5-24 18:11
TIS有趣的灵魂 发表于 2019-5-24 17:15
感谢楼主分享!
另外楼主可以把dumpDex编译的成品分享一下吗,as编译失败

我也还没编译成功,GitHub上只写了个AndroidStudio3,并没有写别的要求,我怀疑是Gradle版本问题,而且这个东西好像只能在源代码写上要脱的包名再编译才可以吧?没有通用性,还是得自己编译出来
超正义的小煌 发表于 2019-5-22 17:49
登录你QQ后就在你的QQ群乱发广告,同时应该可能也在QQ空间 、QQ说说和QQ邮箱转发各种广告。
tounawang 发表于 2019-5-22 18:09
现在习惯用TIM,不知会不会对TIM也同样有效呢?
青青子衿骨 发表于 2019-5-22 18:17
先收藏学习,感谢分享
hdyl 发表于 2019-5-22 18:23
先收藏学习,感谢分享,好好学
xiix112 发表于 2019-5-22 18:38
牛6666666
有图有真相 发表于 2019-5-22 19:08
这个软件确实遇到了,恶意传播
N95 发表于 2019-5-22 19:56
看封面是那種類型的app,就怕很多人性起而不在意危害
夏雨微凉 发表于 2019-5-22 20:27
能不能发一下样本?
stars-one 发表于 2019-5-22 22:40
脱壳都懂,问题是怎么修复啊!!
原来是分析啊,打扰了~
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 21:43

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表