转载对小绵羊的轰炸APP逆向分析

admin · 发表于 2022-7-8 21:25:07

2 D# c6 n2 q6 {% W0 S7 q8 ` 在网络上意外看到一款叫小绵羊的轰炸机APP，经过下载安装(这种未知风险的APP建议都在模拟器上去安装验证和分析功能，有安全风险问题模拟器删除即可)后确认，只要在APP界面的编辑框中输入手机号码，就可以进行对指定手机号码进行短信狂轰炸的效果的（已用自己测试号码验证过效果）。 + n: W( \' l9 D+ p

8 ]7 v, `2 y$ Z! d. ] vshapes= 9 t7 k# u! y" ^

! C. c6 c+ n7 { / ~: P: k0 B1 b1 ?

+ c5 B: a2 f+ ?9 j( C; j 下面就以开发者角度进行解析下这个APP的功能的实现原理。 ; k' z; p- Z8 z4 n2 U

/ v0 t2 R$ [; `" K + z" I- l ^9 N4 X0 p

0 q$ X0 S3 X5 I8 ^9 W8 j P) [# Q 基础信息 / Y! b6 g3 W9 u0 w$ q' M; \

# D& ^' N) e, ` C G1 b4 d 拿到APP的一般做法，就是先对这个APP进行查壳分析确认，决定是否删除卸载APP还是继续分析APP，还好通过查壳工具(通过识别APP中是否包含市面上的加固产品的特有的so文件特征)一分析这个小绵羊APP是没有加固保护的，这样对APP的分析门槛一下子就降低了。 " _9 b# u; \+ M5 h# D; V6 h

% G X+ h/ l' u: W/ `( l2 k( m vshapes= ( n/ H5 a% i7 J+ a

. r* r4 e. }3 H0 E" { ( Y& B' S" n' g# y/ f$ F

* z* |6 B7 S4 q# s6 s 通过使用jadx进行查看APP的整个组成结构和重点查看java功能代码，通过工具可以查看app主要有java代码 C++代码（so文件），资源数据，lua数据，签名信息组成的。 2 S/ t9 d* G! ^2 Y

' I5 M/ Z: y! }6 b3 L$ E vshapes= ! D3 A) \; F" n! f2 D

, z# X; V0 j O2 [ : c6 l6 _+ v: H2 _ p

# q# A5 D' u) g" O g5 n: D 通过jadx工具查看，该APP的Java层部分代码采用android studio自带的proguard插件，进行对个别的类名函数名称进行做混淆保护，虽然这种混淆强度并不强，但是还是有很多APP采用这种方式进行对java层保护。只因这种保护成本低，只需简单的进行配置下就可以达到混淆效果。 F- v4 k, X' w! _% u, k

$ u* M7 B$ }2 i0 x6 N vshapes= ' V* `- J( o* e" A8 S

1 C3 C$ }! V% L1 G, q7 ^ - _3 a J! M+ G% d7 \( `8 y. Y

1 Q: N& v9 m: y6 x0 b, t 启动APP后，通过uiautomatorviewer(SDK中自带的分析控件的工具)工具进行分析该APP的界面控件信息，通过分析可以看到该APP的界面主要由1个EditText和3个Button控件组成的，也就是下面的截图信息。 1 v* y, i" H* J0 L

: Z/ K: b( f/ J' o" G3 ^- j vshapes= 6 E3 b9 O4 l# }0 }( H

' r- O8 ?5 C3 r- u8 r$ z/ \ + v1 ?7 W# X. b {/ _* m2 r9 a M

; D) b8 W0 y: S 下面是这个轰炸APP的界面背景颜色的设置，这个实现功能主要是以lua脚本方式进行实现的。 , }! L) e5 m, D5 `

# _# _8 C# f2 C: C. D vshapes= ' _( m* F0 s/ i$ H9 [

5 F3 U% ?( G" w; W 2 i1 `/ d- n1 Y" f6 \

) Y% u- p. p8 L5 D7 u/ A & q' n& U8 E# p" v/ V: W& l

! I, [4 R& b# } 签名信息 # {! A6 S) h7 g; F: p7 u, X' v

/ t R1 [ L: e7 @" W' U 通过这jadx工具，可以看到这个APP采用的是V1的签名方式，我们知道V1签名是android最早的数字证书签名，为了提高验证速度和覆盖度在android7.0的系统中引入V2的签名，为了实现密钥的轮转载android 9.0系统中引入V3的签名。 8 W6 }+ Q4 Q0 |$ J# ]& {: U5 u' L \

[' U; l+ ^6 C. K" X 目前APP中大部分都是通过V1和V2签名相结合的。并且这个在签名过程中要保证按照V1到V2在到V3的签名顺序，因为V1签名的改动会修改到ZIP三大部分的内容，先使用V2签名再V1签名会破坏V2签名的完整性。 9 u/ @& Z) X( u1 m

) ]2 R. x5 H; h4 y# s8 g! h 在android的app开发过程中，必须对app进行签名，不然过不了系统验证也就无法进行对app安装。 9 ~8 F5 s% r- V, ~; u

% F& ?3 C) a" u S vshapes= & i5 ]: ~6 r/ Y2 {

$ h' q8 t; o$ x# I' \6 Q9 }/ c7 ? % R! z" l3 ^- Z2 @; } f

/ }) e+ m, D0 t" _- g$ Z8 m android签名的数字证书的一般都是采用 X.509的国际标准。 " W- T2 f; Y3 Q$ i

9 h: e s$ n/ x! E2 ? 因X.509内容为第三方可信机构CA对公钥实施数字签名，故也叫公钥证书，数字证书在PKI体系中是一个表明身份的载体，除了用户的公钥，还包含用户公开的基本信息，如用户名、组织、邮箱等。 ! q k- P) {# m/ C. B

0 P- `4 T- J: L1 B. o 下图是android studio工具中可以自己创建用于对APP签名的证书，可以看到它包含密码信息、用户名称、组织名称、地区名称、国家信息、省份信息、城市信息。 2 @# w! p8 x7 x+ s8 a, d! S' c

8 ^; [; t) Q! ]3 `) P vshapes= $ F: m$ M8 ?0 J# k2 B- E( u

( p. g' I" D' s2 U7 M b' Q1 M% {, }$ ]: b ~

$ U ?# X: e- o* K 同样也可以通过jadx工具，在META-INF目录下的CERT.SF文件中去查看确认签名信息，V1签名的主要关键字Created-By:, V2签名的X-Android-APK-Signed的关键字。 1 H L$ ?/ T# f4 s6 t- Z0 ?# U- @9 D

( k6 m: U0 F1 F* m4 F8 ` vshapes= - ?4 I# B$ J5 u+ h$ A8 Z

8 U) S5 W+ c3 ~* ? 、 ( w6 u+ A! ?, c4 W

: F1 J1 }$ W, g0 ~9 D & T6 N$ v+ _/ p0 |) j) o; p1 Y* ~

: \1 P5 a- l& A" D W: m7 P 权限信息 : Z e$ s4 g% t* u) a% n

; G. F2 a) ]! n) b1 J 在这个AndroidManifest.xml文件中主要包含app中所需要的权限，四大组件信息，app包的相关信息（包名称、sdk目标版本、sdk最低版本等等） ; D7 ?1 z8 J3 h/ x1 T) \

- c/ I0 x) C8 H) U android的机制下想要读取相关的信息，都需要向用户申请权限，这个不仅符合android的安全机制，也符合目前国内的安全合规，同样也可以通过申请的权限信息了解APP的功能需求。 |. F+ t* ]: r3 J# D4 W

, a- z/ z: P8 b5 ` vshapes= 7 D7 m2 o, j, n" w4 D

2 ]7 p2 p" f# }" f$ _/ K- q: O+ q5 k 8 m: i( j$ q5 {# ~

+ j7 B; x) |. \4 Q9 c2 q. o 下面对这个APP的所有权限进行详解下： . z5 f. {3 h/ J' l3 p

Y5 e) Z4 O! w0 k. M/ `2 k android.permission.INTERNET ：访问网络连接可能产生GPRS流量 0 }0 P6 i5 [) E/ o

9 S0 X- q$ v/ k% o, x0 t" a6 Y android.permission.ACCESS_NETWORK_STATE：获取网络信息状态，如当前的网络连接是否有效 ' Q+ \! ]8 p8 y" L* U! `

" b- g6 p+ {3 O; W: V2 G) V android.permission.ACCESS_WIFI_STATE:获取当前WiFi接入的状态以及WLAN热点的信息 + z9 t2 [# d& T- R3 y

6 M0 c |' [1 x" e) _# W3 T+ o H android.permission.WRITE_EXTERNAL_STORAGE：允许程序写入外部存储，如SD卡上写文件 2 W9 r# ?% J" K- ^# f( R

; u! I9 q3 M& g" y3 a! y. }5 r, z( I android.permission.WRITE_SMS：允许应用程序写短信内容 : A! k; M, [: u3 M/ u) p( U" E

8 S/ {6 j! s8 s$ S) J4 c android.permission.READ_SMS：允许应用程序读取短信内容 * C" t. g; I) E6 A

+ Y9 }% L1 h K5 K, S, s android.permission.WRITE_SETTINGS:允许应用程序读取或写入系统设置 8 A0 G9 r& s4 h7 \, A0 k

3 L' O) S1 t# t7 e5 p* G% V android.permission.CLEAR_APP_CACHE：允许程序清除应用缓存 7 _: y$ Z+ j3 n5 \! @

: h1 K& [' |1 s7 `9 ]2 K android.permission.BLUETOOTH：允许程序连接配对过的蓝牙设备 : N$ ]0 t: F5 P. l6 Q2 e

; I- h4 I5 r: H z1 H- ^ android.permission.VIBRATE：允许振动 ) f. m+ p( ^5 W5 F) r6 ]

. {! X" ]" f& x2 O) z+ \9 o% t android.permission.READ_LOGS：允许程序读取系统底层日志 5 E4 n9 j/ z/ K( \8 b+ u( n/ h

) t6 z2 l9 R6 u0 m; _# m1 I android.permission.READ_FRAME_BUFFER：允许程序读取帧缓存用于屏幕截图 / W8 z4 q7 t$ o

3 `5 s( k" q3 n0 A$ t2 O + X8 `9 v' S! z

4 \" k c& f9 a6 M9 v8 A1 F, J 功能信息 2 J9 f* x8 M4 Z4 F- J

! m' c7 _* @1 ~5 @ 6 Z: a4 N3 J/ z

6 ^; b& F$ c& I7 b( q5 d' i 这个APP的主要功能都是在lua上实现的，从界面到轰炸功能都集成到lua上。 " d& o% G! D( `3 Y

) Z) O6 }& T) q9 j- q! s7 A Lua是一门用标准C编写的动态脚本语言，如果希望在android上使用，则需要解决2个问题。 " L$ n! o$ q* u) D& [# a3 t9 o

& w! P$ V" N l" O1 L# i& x3 U* c 1、需要用JNI为Lua的C库进行封装，这样才可能在Java中使用。 7 } F6 } V* _4 ]+ N# i6 g6 u

' `4 w/ t( ?& | 2、由于Android系统开发所特有的系统环境限制，Lua三方库的动态加载机制和lua脚本模块的导入机制将不能正常运行，需要进行特殊处理。 * N1 v! J$ n$ n5 p# Y

* G. M1 T! o8 e" V* l vshapes= * R% d9 Z+ w! J- v" x# T3 U

4 a7 R0 p$ l+ s" ]9 q. E . }8 n0 P8 x: k

) ^2 v7 B: @) `; U! n 输入好手机号码后（不过这个输入都没做验证，随便输入数据都进行执行一遍功能），通过charles抓包工具进行抓取数据吧，可以很清晰的看到，点击轰炸后，马上执行发送406个网络数据包，这些数据主要集中在作者收集的406个各种类型网站进行发网络账号注册验证码信息的轰炸。 2 O: u. R: h) _, [

0 E. Q2 M6 a) e" F5 e0 N vshapes= ' K1 L4 f" U( h' P6 B" t4 U

5 r2 d* Q/ e9 k- ]! X2 E6 h7 L Y + r# ?- z. d! K) @& n6 }

: J* ~' f1 p Y! o$ b9 ]4 l4 | 在lua功能中，有对vpn的判断，通过简单判断获取当前网络状态，并且判断网络状态是否属于vpn的状态，如果属于vpn状态，那么就往storage的目录下写入时间点设定，并且强制关闭APP，当在启动APP的时候会先判断文件是否有写入判断禁入的信息，如果有就不让启动APP。其实破解这个验证很简单，直接将文件的禁入信息清空即可。 ( V" D8 N( h% W5 h* f5 _$ s

8 ^6 ~) l* y, s* ]8 a- L vshapes= ) M, ?# \1 _$ z$ c4 x) `

% e: c) z8 p/ r; R j& m9 B$ N 下图的这几个so是网络上lua和socket通用的so文件，并没有什么可研究价值。 - m2 f0 @( I$ r) c1 c

. S; ] g: M* T9 j; X vshapes= 2 I1 a! U6 @. ~4 D; s% m

$ J# s+ W: N+ N; y: A& E $ J0 \ r" F7 i

: a4 C( e# P# C- n 通过分析libsocket.so这个so文件，可以确认采用的是luaSocket 3.0版本 $ e' J! c: c/ C

2 _8 a; @- A1 \* _3 g" Y6 t$ ` LuaSocket 它是 Lua 的网络模块库，它很方便地提供 TCP、UDP、DNS、FTP、HTTP、SMTP、MIME 等多种网络协议的访问操作。 - G) m6 F) M7 O5 \) G9 Q' D, f

/ j" H2 M1 m7 H. | 这个luasocke一部分是用 C 写的核心，提供对 TCP 和 UDP 传输层的访问支持。另外一部分是用 Lua 写的，负责应用功能的网络接口处理。 # f8 o5 O3 H0 }; V$ B, {3 O* V

7 p+ @& b- f# A' Q9 S* ` 开源的luasocket代码可以参考学习下 * h- V0 u( ^5 k& K7 @! J

) D9 a* S3 c6 m& x4 h6 \ https://github.com/lunarmodules/luasocket 8 G. v3 [/ `7 x7 U

* i8 W9 W! h; s0 H+ {3 L https://github.com/fengye/luasocket & I8 Y# C% C4 P. u9 Y4 E

/ n9 S. P. S' a4 F% ?& Y# i/ v 0 {% d4 |' p0 D f C

. v1 B# K& v% n vshapes= & N; e0 E! ?; F7 C7 ^" g! ~' z

( g" [! ^5 g- L$ } 5 [% g9 w& R' C; k3 D3 k

) w3 d5 J v5 J4 P% S / I) { d3 Z% Q$ T$ N- B2 s @' y6 \9 c

: _0 i5 I- l1 }3 s b" F& Y6 ?1 v 总结 , h% Y l! m- X; |

; I O2 x$ m. H5 x 纵观整个轰炸APP的功能，分析这个APP都没有采取任何保护(加壳、反调试)就没有门槛了，基本也不需要涉及到脱壳、hook和动态调试这些操作，只要用几个(jadx、charles、ida、uiautomatorviewer)工具就可以将功能全部分析清楚。 # Q# D9 g Z2 A3 r& M

& M# B* ]- B, _6 m 感叹这个作者确实很用心的去做这个轰炸的功能，去收集了406个的各类型的网站进行手机注册功能。 % p: s( c; n. T- g) J# o; o

' }" ]) Z! A; H. Z) X 对于这种具有攻击性的APP还是要慎重下，免费APP功能的前提往往会有给APP植入后门或者病毒的存在。 5 }- \: O* i- i/ O3 r$ M

9 C a- A& |% I! M. @3 k 结束 B: k6 A. F: U5 p, P4 `0 m; M9 ]4 B! U

- R2 F7 a4 l4 ^( o4 E 【推荐阅读】 # M% ^* I- W2 O4 f A

1 J$ P) C2 e! M2 d& e* y& B+ T 对吃鸡APP的分析 / G" F) a K4 } R! ~5 A2 |

* s! p4 `! v" `8 o0 ]& t; b, S 你需要了解的APP安全 l' r' L" K" o o5 Q' x8 k" |

8 ]4 o5 _5 I; R' t% [/ v% K 你需要了解的APP安全 9 p5 y: w: h3 |8 Y# j `

( _& ~% G% f( i+ E7 b / E6 f( Q7 c1 J' E

		自动登录	找回密码
密码			立即注册