响应中心【送给最好TA.apk】病毒介绍与分析 安全响应中心

admin 11月前 244

此软件源代码来自“北航”,但已遭到篡改,目前原作者已经报警,传播即为违法!

已有部分大学沦陷!

病毒行为分析:

1.硬件输入线路篡改

关机键调整为音量增大键,原关机功能无效

2.硬件输出指令篡改

外接音频扬声器无效

3.系统音量更改

每0.5秒将声音调整为百分百

4.嵌入式音频播放

播放不可言喻的音频,自动播放,无法关闭

5.盗取信息

目前,知乎与微博等社区网友发文称,浙大、同济、中科大、云大等多个大学的同学均有“中招”,此外还有不少同学出于看热闹的心态将该App改名后继续发送安装包链接给朋友继续传播,例如改名为“大学英语四六级听力训练”。

对此,国家互联网应急中心第一时间对传播的样本进行了技术分析,发现该样本的实现方式是利用了勒索App常用的伎俩,样本启动后加载本地的0.mp3音频文件,循环播放不雅音频,并且音频声音会逐渐变大,同时会屏蔽用户手机设备返回键按键功能,达到致使用户陷入尴尬状态的整蛊目的,具有YD/T 2439-2012《移动互联网恶意程序描述格式》中的流氓行为。

国家互联网应急中心表示,该类恶意App并不造成用户直接的经济损失,但是影响较为恶劣,用户一旦中招,可及时插上耳机,以减轻不良影响,然后卸载相关恶意App即可。同时,用户可以通过以下两种方式卸载该恶意App:(1)此类App会屏蔽用户设备按键,用户可先进行强行关机,停止播放音频,然后重新开机后可以卸载该类App;(2)通过使用am force-stop[程序包名]命令的方式强行卸载该类App。

病毒分析详解:

apk分析

拿到样本之后,别急着安装运行,先看看它的目录结构。

打开assets文件夹,看到有一个mp3文件以及两个加密后的lua脚本:


运行app后会自动播放这个音频文件,先对它进行替换。

这里使用AU对该mp3进行了静音处理。

(其实可以替换成自己想要播放的音频,重打包签名即可)。

找到加载lua的关键函数

众所周知,lua脚本需要加载,而在加载之前肯定是要先解密的,所以只要找到解密函数,然后就可以把解密后的lua脚本dump出来。

使用IDA打开libluajava.so,经过分析找到函数luaL_loadbufferx

luaL_loadbufferx的第二个参数是加密的字节数组,第三个参数是大小,第四个参数是lua文件位置。

这个函数就是加载加密lua脚本的地方,其中对脚本进行了解密操作。

根据第四个参数我们可以区分目前加载的lua脚本名称,从而选择性地dump

(即在函数开头下断点,查看第四个参数内容)

luaL_loadbufferx函数伪代码如下:

首先对输入的字节数组进行判断,如果以1B开头,且第二位不是0C,则进行解密操作,否则直接调用j_lua_load加载lua脚本

在第41行下断点即可获取到解密后的字节数组,从而dump

动态调试进行dump

IDA在第41行断下之后,运行python脚本dump即可

import idaapidata = idaapi.dbg_read_memory(0xf4daff00, 0x3000)fp = open('d:dump.lua', 'wb')fp.write(data)fp.close()

此处的0xf4daff00, 0x3000需要替换成起始地址和长度

长度写大一点也没事,可以再用010Editor删除(所以我这写的0x3000)

分析lua

由于解密出来的lua也不是源码形式,而是字节码,所以脚本逻辑看起来没那么轻松,但也不是不能理解。

主要功能在main.lua中完成:

大致看了一下,其实就是播放音频和循环调节媒体音量,并拦截了返回键。
主要功能其实跟以前那个叫目力的app差不多。(不过今天这个apk的音频就太那啥了...)



少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:调查:GDPR 的全球影响力调查
下一篇:SimJacker的最新变种名为WIBattack,可以使手机遭受远程黑客攻击
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回