Reverse:对某热门app的逆向分析
大家好,我是无用挂件。在又一次咕咕咕了不到三个月后,某爆发性传播的app成功地引起了我们的兴趣,因而写篇水文,以缅怀那些因此社会性死亡的烈士(滑稽)。
9月26日,一个名为“送给最好的ta”、大小为724.3KB的Android Package文件开始通过以QQ群为代表的社交平台传播,当晚交大沦陷;次日,C9高校全面沦陷,各大学均有中招,其中不乏在课堂、重要会议或人员密集的公开场所上点开该app者,轻则社会性死亡、重则招致处分,史称“927事件”。该app在点开后会以无法减小的最高音量播放一段不雅音频,解决方式只有从后台关闭或重启手机并卸载。
这种简单的整蛊app,Symbian时代早已有之,Windows上也有相应版本,只是当时的传播手段过于单一,没有今天这样高度活跃的社交平台,因而影响没有这次这么大。但是在其扩散开之后,社交平台上兴起的“盗取个人信息”、“不格式化设备无法彻底删除”等种种流言,还有各路所谓“大神”似是而非的诱导性分析,更是在如今互联网时代更加值得我们注意的。拿到样本之后饭鸟和我都做了一些简单的逆向,放在这里和大家一起交流。
思路一:行为层面的分析(反编译式)
该app申请了读写存储空间和完全的网络访问权限,所以我们可以从这两个角度入手去分析。
把App拖进Jadx,我们发现了这么一个玩意(见图1),对,这就是网传的“连续截图”。可以看到,com.nirene.screencapture类控制了这一行为。很显然,这部分代码是试图持续模拟Power+Volume-键,以阻止用户减小音量或锁屏。但经测试,该段代码并不成功,用户依旧可以锁屏或者减小音量,所以作者又设置了一种定时调节音量为最大的实现,其中调用了AccessbilityService。该app要求的Storage权限也正是保证模拟截图行为的正常进行。
我们再在反编译出的代码中指定http和socket关键词进行搜索,见P2、P3。可以看到,仅com.androlua.Http、com.androlua.LuaServer、com.baidu.mobstat有涉及。前两者为作者使用的AndroLua(一种基于LuaJava的Android实现)自带的方法,最后一项是BaiduStats(百度统计),可能是作者想看看有多少人中招(没这么无聊吧…)。不过,我分别使用PacketCapture、HttpCanary、Fiddler等工具尝试去抓包,都未得到任何结果(也就是该软件并不会联网?)
思路二:真正的逆向操作
我们不难发现,上面一种方法审计量过大且过于琐碎,效率很低。直接使用ApkTool解包,我们在assets目录下抓到了关键。对,作者实际上就写了init.lua和main.lua,外带上一段奇奇怪怪的声音(0.mp3),然后在AndroLua框架作了编译。(所以说会有人推出所谓的变种和新玩法,看到了吧,只是解包替换了0.mp3,然后签名打包二次传播而已)
显然,作者不想让你看到他的代码逻辑(作了二次混淆),所以逆向main.lua便成为入手点。回头看Resources\lib\armeabi-v7a\libluajava.so,IDA打开,分析之后可以找到解密函数luaL_loadbufferx,直接拿来用。Dump出来之后main.lua是字节码,这时就可以顺利地使用unluac反编译了。最终得到*.lua的Source File,整个app的程序逻辑就很清晰了,看得出来,很无聊吧…
Reverse很轻松地结束了,但值得我们去警醒的是谣言和其笼罩下的群众性行为。互联网时代,做个独立而理智的人,能去清醒地自我思考,至关重要。
本文首发于淀粉月刊:https://dfkan.com
本文作者:无用挂件
