android qq群加群代码,逆向分析某QQ恶意自动邀请加群APK
本帖最后由 boomsoap 于 2019-5-23 18:48 编辑
一:基本原理
APK通过调用了qq登陆并实现了使用者的QQ群的读取,让使用者自动的邀请指定的QQ号,而指定QQ号再进行群发消息传播有害信息和诱导apk下载。
1.jpg (32.48 KB, 下载次数: 1)
2019-5-22 17:26 上传
进入apk只有一个背景页面(这背景页面像极了快手)和提示框,点击取消再次弹出提示框,点击立即登陆则会调用qq,调用以后会以你的名义在你的常用qq群中拉人。
二:Android killer 反编译
2.png (24.86 KB, 下载次数: 1)
2019-5-22 17:27 上传
这款apk找不到StartActivity的入口,不能直接从入口读取到smail反编译后含有大量的so,so的名字为jiagu.so。而smail文件中的qihoo360说明了该应用使用了360加固。
三:脱壳qihoo360加固
这次使用现成的Xposed脱壳模块来进行脱壳。dumpDex-Android脱壳Xposed模块来进行脱壳。
模块源码地址:https://github.com/WrBug/dumpDex。安装模块后重启,安装apk后直接在data/data/包名下生成了dump文件夹Dump文件夹中是使用xposed模块以后得到反编译后的dex文件
3.png (27.7 KB, 下载次数: 1)
2019-5-22 17:27 上传
这么多的dex文件中只有一个是相应的源码,一个一个的试,看谁的内容比较像。一般大小和apk差不多的有很大可能是。
三:jadx源码分析
通过jadx直接打开dex文件就得到了源码
4.png (110.62 KB, 下载次数: 2)
2019-5-22 17:27 上传
虽然左边包名不能显示中文,但是源码中有很多中文,而e4a.runtime这个包也告诉我们这个apk是用易语言写的。虽然是混淆过的,但基本还是有可读性。
5.png (69.8 KB, 下载次数: 2)
2019-5-22 17:27 上传
包名是一个浏览器的包名(假装自己是个浏览器),这里有这个apk接入的cookies服务器地址。或许从这个服务器能找到恶意软件作者的相关信息?还接入了友盟来对用户进行统计。这个叫“公共模块”的包里集成了很多函数,甚至还有获取好友自动加好友分析可以发现很多的代码被bi.b这个方法赋值了
。
6.png (28.79 KB, 下载次数: 2)
2019-5-22 17:27 上传
但应该是一个向用户请求读写sd卡的权限的语句相对详细的代码就是自动加群的代码。
7.png (125.27 KB, 下载次数: 1)
2019-5-22 17:27 上传
还有app主要窗口的代码,主要的代码分析都在这里进行分析。
8.png (45.39 KB, 下载次数: 2)
2019-5-22 17:27 上传
不知道是不是混淆方法搞不定中文,易安卓做的app反编译后尽管混淆了,可读性还是可以。中文的类库和一些函数名并不能被混淆。
四:加群协议分析
9.png (44.28 KB, 下载次数: 2)
2019-5-22 17:27 上传
f176qq是本次操作qq,f158qq是一个qq数组f185url是加好友urlf177是本次qq群,f180是一个qq群数组
10.png (19.97 KB, 下载次数: 0)
2019-5-22 17:27 上传
获取到了一个浏览器参数,我认为这里这个浏览器参数应该是调用qq登录时的url.
11.png (41.68 KB, 下载次数: 1)
2019-5-22 17:27 上传
因为在这里对这个“浏览器参数”进行了提取,其中就有keyindex,clientuin,然后再用一个cookies服务器地址传上去参数url_ret取得返回的网页源码。获得qq空间cookies,token.。
12.png (33.77 KB, 下载次数: 0)
2019-5-22 17:27 上传
这里了通过一个llk1.m248的方式截取了cookies。可以看出这是典型的cookies欺骗攻击方式,虽然cookies不会暴露明文密码信息,但是只要截获到cookies向服务器提交一系列请求就能实现对qq账号行为的控制。
13.png (44.73 KB, 下载次数: 1)
2019-5-22 17:27 上传
可以看到恶意软件作者在好友加群等操作大量的运用了在上面方式得到的cookies,通过cookies实现了加群,提取群等操作,但由于代码混淆,并不能再深入的了解截获的原理和运用的具体原理。
五:总结
1可以看出有些恶意软件虽然安装得到时候也不会报有害软件,但是如果调用登录的接口,截取cookies则会使用你的qq号做别的事,所以没事不要下载来路不明的apk.
2 cookies存储用户的信息还是有安全问题,cookies欺骗的攻击方式没有得到有效防护,应该得到重视。
3被一些加固插件加固过的apk可以尝试用dumpDex-Android等直接获取dex文件,并用jadx读取源码。
apk样本在这里,断网或者登录qq小号调试:链接:https://pan.baidu.com/s/1zRIKUXOIjjNw7yc7bYfl0A提取码:55ax
android qq群加群代码,逆向分析某QQ恶意自动邀请加群APK相关推荐
- 微信自动邀请加群!!!
1.需求场景 很多管理大量微信社群的小伙伴都有这样的场景,当微信群的人数达到100人之后,将不能在通过分享的群二维码加入群里,必须自主添加好友后,手动去邀请才能加用户拉入群众,如果有大量的用户加群,就 ...
- 移动安全逆向著作《Android应用安全防护和逆向分析》终于发售了,先来一波签名送书福利!
经历了一年半,我的毕生精力著作终于和大家见面了,写书很不容易,这段时间感谢大家对我的文章的支持和肯定,也有很多同学和我反馈要是能写一本书这么详细介绍内容就好了.其实我一直在写,只是没有写好的那一天还不 ...
- php 跳转qq群代码_PHP小脚本~QQ免KEY值加群
加群链接需要 idkey 的,该源码自动解析 idkey,实现免 idkey 加群. 不保证长时间有用~有兴趣的试试看哦~ PS:你要问有啥用?????答案:没啥用! 好了!代码奉上! /*免 IDK ...
- php 跳转qq群代码_一个简单QQ群聊案例代码解析(PHP实现)
问题: 使用面向对象编程的方式实现以下业务逻辑: 1. 张三使用账号a,密码b登录了qq 2. 显示出张三最后的登录的时间 3. 张三查看了 1小时内的行政部门群的信息(这个群里有张三,李四,王五,其 ...
- 第八章 Android 原生程序开发与逆向分析(三)(原生程序文件格式)
文章目录 原生程序文件格式 原生程序的文件类型 AArch64 ELF 文件格式 e_ident e_type e_machine e_version e_entry e_phoff e_shoff ...
- Android Adobe Reader 任意代码执行分析(附POC)
livers · 2014/04/18 14:05 0x00 描述 前几天老外在fd还有exploit-db上,公布了Adobe Reader任意代码执行的漏洞. 漏洞编号: CVE: 2014-05 ...
- Simens NX (原UG)内部代码逆向分析 / Inner code Reverse analysis of NX software
[篇首语]这里的逆向分析不是机械中的反求工程(抄数),而是软件中的逆向工程,旨在研究软件内部代码实现机制.我在这里要说明一下,软件逆向不在软件使用的许可范围之内,仅可以作为研究软件实现功能的一种方法. ...
- 第八章 Android 原生程序开发与逆向分析(五)(原生 C 程序逆向分析)
文章目录 原生 C 程序逆向分析 编译原生 C 程序 for 循环分支结构 for1() for2() while 循环分支结构 dowhile() whiledo() if--else 分支结构 i ...
- c语言程序怎么还原回代码,逆向分析:如何一步步还原C代码
逆向实战 应各位的建议,加了注释,喜欢的看官点个赞支持一下,哈哈! 程序入口 如何查找程序入口? main 函数被调用前要先调用的函数如下: GetVersion() _heap_init() Get ...
最新文章
- 配置PIM auto-rp
- 别拿BI不当产品(上)进击的数据产品
- 采药2_纪中2540_dp
- 四十二、MOOC课程 | Python中的Scipy模块
- 新一代大数据处理引擎 Apache Flink
- Kubernetes,多云和低代码数据科学:2020年最热门的数据管理趋势
- os sys hashlib
- 你只会用 StringBuilder?试试 StringJoiner,真香!
- Numpy Math functions
- magento url rewrite规则
- 深入理解JVM-类加载器深入解析(1)
- 关于SUSE linux
- k3导入账套_金蝶K3财务操作流程
- terrasolid时间设置
- Android 分贝测试仪功能
- 阔别263天游戏版号回归:巨头无缘,投资机会从何凸显?
- codeforces838D - Airplane Arrangements
- Thinkpad笔记本键盘拆卸
- 使用七牛云存储解决app部署问题,免申请https认证
- 如何通过修改注册表改变系统的默认文件夹