12下一页
返回列表 发新帖

“送给最好的TA”流氓应用分析

[复制链接]

1

主题

41

帖子

193

积分

小学生

Rank: 2

金币
43
好评
1
贡献
0
发表于 2019-9-27 22:16:52 | 显示全部楼层 | 阅读模式
送给最好的TA”流氓应用分析[size=10.5000pt]表面上是病毒惨案,实际上是老司机们寻找原音频的速度车赛
[size=11.0000pt]先附上分析完之后音频的车牌:SSNI-392
使用工具:Jadx,luadec
工具下载地址:QQ群643060786


Jadx打开查看AndroidMasifest.xml发现应用权限只请求了网络和存储读写权限。
通过Application的指定类名可以看出这个应用可能是用lua写的。


[size=12.0000pt]
[size=12.0000pt]
通过对apk结构分析确定是Androlua应用。Androlua应用启动会首先加载在lua目录下面的lua文件初始化lua环境,在加载assets目录下的init.lua初始化应用配置,然后是main.lua文件执行写好的代码。所以重点在于分析assets下的main.lua文件。

在解开lua文件加密后就可以用luadec反编译出代码
(.require)(“import”)
;
(.import)(“android.app.*”)
;
(.import)(“android.os.*”)
;
(.import)(“android.widget.*”)
;
(.import)(“android.view.*”)
;
(.import)(“android.view.View”)
;
(.import)(“android.content.Context”)
;
(.import)(“android.media.MediaPlayer”)
;
(.import)(“android.media.AudioManager”)
;
(.import)(“com.Androlua.Ticker”)
;
((((.activity).getSystemService)((.Context).AUDIO_SERVICE)).setStreamVolume)((.AudioManager).STREAM_MUSIC, 15, (.AudioManager).FLAG_SHOW_UI)
local l_0_2 = (((.activity).getDecorView)()).setSystemUiVisibility
l_0_2((.View).SYSTEM_UI_FLAG_HIDE_NAVIGATION | (.View).SYSTEM_UI_FLAG_IMMERSIVE)
l_0_2 = .
l_0_2 = l_0_2()
local l_0_0 = nil
.m = l_0_2
l_0_2 = .m
l_0_2 = l_0_2.reset
l_0_2()
l_0_2 = .m
l_0_2 = l_0_2.setDataSource
l_0_0 = .activity
l_0_0 = l_0_0.getLuaDir
l_0_0 = l_0_0()
local l_0_1 = nil
l_0_1 = “/0.mp3”
l_0_0 = l_0_0 .. l_0_1
l_0_2(l_0_0)
l_0_2 = .m
l_0_2 = l_0_2.prepare
l_0_2()
l_0_2 = .m
l_0_2 = l_0_2.start
l_0_2()
l_0_2 = .m
l_0_2 = l_0_2.setLooping
l_0_0 = true
l_0_2(l_0_0)
l_0_2 = .Ticker
l_0_2 = l_0_2()
.ti = l_0_2
l_0_2 = .ti
l_0_2.Period = 10
l_0_2 = .ti
l_0_0 = function()
— function num : 0_0 , upvalues :
((((.activity).getSystemService)((.Context).AUDIO_SERVICE)).setStreamVolume)((.AudioManager).STREAM_MUSIC, 15, (.AudioManager).FLAG_SHOW_UI)
;
((((.activity).getDecorView)()).setSystemUiVisibility)((.View).SYSTEM_UI_FLAG_HIDE_NAVIGATION | (.View).SYSTEM_UI_FLAG_IMMERSIVE)
end

l_0_2.onTick = l_0_0
l_0_2 = .ti
l_0_2 = l_0_2.start
l_0_2()
l_0_2 = function(l_2_0, l_2_1)
— function num : 0_1 , upvalues :
if ((.string).find)((.tostring)(l_2_1), “KEYCODE_BACK”) ~= nil then
((((.activity).getSystemService)((.Context).AUDIO_SERVICE)).setStreamVolume)((.AudioManager).STREAM_MUSIC, 15, (.AudioManager).FLAG_SHOW_UI)
end
return true
end

.onKeyDown = l_0_2

由于Androlua编译lua文件时分离了编译的debug信息,所以导致luadec反编译的内容可读性较差。但是还是可以看出写的代码
重写成Java代码后就很明显了。

这里同时也贴出init.lua的内容
.appname = “送给最好的TA”
.appver = “1.0”
.appcode = “10”
.appsdk = “15”
.path_pattern = “”
.packagename = “com.sgzh.dt”
.theme = “Theme_DeviceDefault_Dialog_NoActionBar_MinWidth”
.app_key = “”
.app_channel = “”
.developer = “”
.description = “”
.debugmode = false
.user_permission = {“INTERNET”, “WRITE_EXTERNAL_STORAGE”}

这里说明一下,网上传的这个应用会持续截图,盗窃用户信息,是错误的
第一:在应用权限列表中没有截图权限,应用无法截图。
第二:com.nirenr.screencapture.ScreenShot(截图类)在辅助服务类中调用。

然而由于AndroidManifest.xml文件的问题导致Android系统无法识别该应用的辅助服务

再者应用主逻辑中都没有关于截图的任何调用。



By-pro


[size=10.5000pt]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
已有1人评分好评 金币 理由
sjjqaa + 1 + 1

查看全部评分 总评分:好评 +1  金币 +1 

回复

使用道具 举报

1

主题

41

帖子

193

积分

小学生

Rank: 2

金币
43
好评
1
贡献
0
发表于 2019-9-27 22:18:33 | 显示全部楼层
懒得排版
回复

使用道具 举报

101

主题

1375

帖子

5069

积分

硕士生

Rank: 6Rank: 6

金币
490
好评
44
贡献
1

考神MT论坛帅哥MT论坛最佳新人MT论坛活跃会员

发表于 2019-9-27 22:19:08 来自手机  | 显示全部楼层
支持,网上就喜欢瞎说。
实测证明根本就没有什么截图。
就申请了一个储存权限。
软件本身应该是没病毒的。
回复

使用道具 举报

28

主题

1820

帖子

6939

积分

硕士生

我爱学习

Rank: 6Rank: 6

金币
1952
好评
22
贡献
1

考神MT论坛帅哥

发表于 2019-9-27 22:35:26 来自手机  | 显示全部楼层
我今天上午找了好久
没发现有任何问题
回复

使用道具 举报

1

主题

501

帖子

1892

积分

高中生

Rank: 4

金币
910
好评
0
贡献
0
发表于 2019-9-27 22:38:53 来自手机  | 显示全部楼层
直接删除那个0.MP3就行了
回复

使用道具 举报

255

主题

1万

帖子

2万

积分

版主

一个水怪

Rank: 7Rank: 7Rank: 7

金币
9330
好评
135
贡献
2

MT论坛灌水老大MT论坛最佳新人2019-5.1节快乐考神MT论坛侠客MT论坛活跃会员

发表于 2019-9-27 22:43:06 来自手机  | 显示全部楼层
dyliloveyou 发表于 2019-9-27 22:19
支持,网上就喜欢瞎说。
实测证明根本就没有什么截图。
就申请了一个储存权限。

目测应该是恶搞用的,我以前写过,音量最大,换壁纸,播放声音,屏幕最靓,就看图是什么图,播放的是什么了
回复

使用道具 举报

11

主题

1031

帖子

4732

积分

大学生

滑稽

Rank: 5Rank: 5

金币
1607
好评
13
贡献
12
QQ
发表于 2019-9-27 22:43:55 来自手机  | 显示全部楼层
网上那人也是半吊子,看到dex有截图的log就说软件会截图
回复

使用道具 举报

0

主题

615

帖子

1769

积分

高中生

Rank: 4

金币
284
好评
1
贡献
0

考神

发表于 2019-9-27 23:02:39 来自手机  | 显示全部楼层
学习一下
回复

使用道具 举报

2

主题

867

帖子

1591

积分

高中生

Rank: 4

金币
-2
好评
2
贡献
0
发表于 2019-9-28 00:02:26 来自手机  | 显示全部楼层
这是啥玩意?
回复

使用道具 举报

0

主题

435

帖子

771

积分

初中生

Rank: 3Rank: 3

金币
140
好评
0
贡献
0
发表于 2019-9-28 00:34:14 来自手机  | 显示全部楼层
小白看不懂,
回复

使用道具 举报

202

主题

4584

帖子

1万

积分

博士生

大水怪在此![#滑稽]

Rank: 7Rank: 7Rank: 7

金币
2365
好评
63
贡献
1

MT论坛活跃会员MT论坛侠客MT论坛美女懒考神

QQ
发表于 2019-9-28 08:11:46 来自手机  | 显示全部楼层
路过看看
回复

使用道具 举报

127

主题

4466

帖子

1万

积分

版主

Rank: 7Rank: 7Rank: 7

金币
4038
好评
94
贡献
0

考神MT论坛活跃会员MT论坛侠客

发表于 2019-9-28 13:49:28 来自手机  | 显示全部楼层
谢谢分享,终于有真相了
回复

使用道具 举报

0

主题

94

帖子

273

积分

初中生

Rank: 3Rank: 3

金币
61
好评
0
贡献
1
发表于 2019-9-28 14:47:32 来自手机  | 显示全部楼层
我中招了,还好周围没人
回复

使用道具 举报

1

主题

53

帖子

232

积分

初中生

Rank: 3Rank: 3

金币
72
好评
0
贡献
0
发表于 2019-9-29 12:41:52 来自手机  | 显示全部楼层
车牌我已经看完了
回复

使用道具 举报

0

主题

5

帖子

9

积分

幼儿园

Rank: 1

金币
5
好评
0
贡献
0
发表于 2019-10-2 18:23:32 来自手机  | 显示全部楼层
说是无法关机,音量键被屏蔽怎么说,真的吗,不调用底层高级权限应该做不到吧
回复

使用道具 举报

发表回复

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表