对小绵羊的轰炸APP逆向分析

背景

在网络上意外看到一款叫小绵羊的轰炸机APP,经过下载安装(这种未知风险的APP建议都在模拟器上去安装验证和分析功能,有安全风险问题模拟器删除即可)后确认,只要在APP界面的编辑框中输入手机号码,就可以进行对指定手机号码进行短信狂轰炸的效果的(已用自己测试号码验证过效果)。

下面就以开发者角度进行解析下这个APP的功能的实现原理。

基础信息

拿到APP的一般做法,就是先对这个APP进行查壳分析确认,决定是否删除卸载APP还是继续分析APP,还好通过查壳工具(通过识别APP中是否包含市面上的加固产品的特有的so文件特征)一分析这个小绵羊APP是没有加固保护的,这样对APP的分析门槛一下子就降低了。

通过使用jadx进行查看APP的整个组成结构和重点查看java功能代码,通过工具可以查看app主要有java代码 C++代码(so文件),资源数据,lua数据,签名信息组成的。

通过jadx工具查看,该APP的Java层部分代码采用android studio自带的proguard插件,进行对个别的类名函数名称进行做混淆保护,虽然这种混淆强度并不强,但是还是有很多APP采用这种方式进行对java层保护。只因这种保护成本低,只需简单的进行配置下就可以达到混淆效果。

启动APP后,通过uiautomatorviewer(SDK中自带的分析控件的工具)工具进行分析该APP的界面控件信息,通过分析可以看到该APP的界面主要由1个EditText和3个Button控件组成的,也就是下面的截图信息。

下面是这个轰炸APP的界面背景颜色的设置,这个实现功能主要是以lua脚本方式进行实现的。

签名信息

通过这jadx工具,可以看到这个APP采用的是V1的签名方式,我们知道V1签名是android最早的数字证书签名,为了提高验证速度和覆盖度在android7.0的系统中引入V2的签名,为了实现密钥的轮转载android 9.0系统中引入V3的签名

目前APP中大部分都是通过V1和V2签名相结合的。并且这个在签名过程中要保证按照V1到V2在到V3的签名顺序,因为V1签名的改动会修改到ZIP三大部分的内容,先使用V2签名再V1签名会破坏V2签名的完整性。

在android的app开发过程中,必须对app进行签名,不然过不了系统验证也就无法进行对app安装。

android签名的数字证书的一般都是采用 X.509的国际标准。

因X.509内容为第三方可信机构CA对公钥实施数字签名,故也叫公钥证书,数字证书在PKI体系中是一个表明身份的载体,除了用户的公钥,还包含用户公开的基本信息,如用户名、组织、邮箱等。

下图是android studio工具中可以自己创建用于对APP签名的证书,可以看到它包含密码信息、用户名称、组织名称、地区名称、国家信息、省份信息、城市信息。

同样也可以通过jadx工具,在META-INF目录下的CERT.SF文件中去查看确认签名信息,V1签名的主要关键字Created-By:, V2签名的X-Android-APK-Signed的关键字。

权限信息

在这个AndroidManifest.xml文件中主要包含app中所需要的权限,四大组件信息,app包的相关信息(包名称、sdk目标版本、sdk最低版本等等)

android的机制下想要读取相关的信息,都需要向用户申请权限,这个不仅符合android的安全机制,也符合目前国内的安全合规,同样也可以通过申请的权限信息了解APP的功能需求。

下面对这个APP的所有权限进行详解下:

android.permission.INTERNET :访问网络连接可能产生GPRS流量

android.permission.ACCESS_NETWORK_STATE:获取网络信息状态,如当前的网络连接是否有效

android.permission.ACCESS_WIFI_STATE:获取当前WiFi接入的状态以及WLAN热点的信息

android.permission.WRITE_EXTERNAL_STORAGE:允许程序写入外部存储,如SD卡上写文件

android.permission.WRITE_SMS:允许应用程序写短信内容

android.permission.READ_SMS:允许应用程序读取短信内容

android.permission.WRITE_SETTINGS:允许应用程序读取或写入系统设置

android.permission.CLEAR_APP_CACHE:允许程序清除应用缓存

android.permission.BLUETOOTH:允许程序连接配对过的蓝牙设备

android.permission.VIBRATE:允许振动

android.permission.READ_LOGS:允许程序读取系统底层日志

android.permission.READ_FRAME_BUFFER:允许程序读取帧缓存用于屏幕截图

功能信息

这个APP的主要功能都是在lua上实现的,从界面到轰炸功能都集成到lua上。

Lua是一门用标准C编写的动态脚本语言,如果希望在android上使用,则需要解决2个问题。

1、需要用JNI为Lua的C库进行封装,这样才可能在Java中使用。

2、由于Android系统开发所特有的系统环境限制,Lua三方库的动态加载机制和lua脚本模块的导入机制将不能正常运行,需要进行特殊处理。

输入好手机号码后(不过这个输入都没做验证,随便输入数据都进行执行一遍功能),通过charles抓包工具进行抓取数据吧,可以很清晰的看到,点击轰炸后,马上执行发送406个网络数据包,这些数据主要集中在作者收集的406个各种类型网站进行发网络账号注册验证码信息的轰炸。

在lua功能中,有对v**的判断,通过简单判断获取当前网络状态,并且判断网络状态是否属于v**的状态,如果属于v**状态,那么就往storage的目录下写入时间点设定,并且强制关闭APP,当在启动APP的时候会先判断文件是否有写入判断禁入的信息,如果有就不让启动APP。其实破解这个验证很简单,直接将文件的禁入信息清空即可。

下图的这几个so是网络上lua和socket通用的so文件,并没有什么可研究价值。

通过分析libsocket.so这个so文件,可以确认采用的是luaSocket 3.0版本

LuaSocket 它是 Lua 的网络模块库,它很方便地提供 TCP、UDP、DNS、FTP、HTTP、SMTP、MIME 等多种网络协议的访问操作。

这个luasocke一部分是用 C 写的核心,提供对 TCP 和 UDP 传输层的访问支持。另外一部分是用 Lua 写的,负责应用功能的网络接口处理。

源的luasocket代码可以参考学习下

https://github.com/lunarmodules/luasocket

https://github.com/fengye/luasocket

总结

纵观整个轰炸APP的功能,分析这个APP都没有采取任何保护(加壳、反调试)就没有门槛了,基本也不需要涉及到脱壳、hook和动态调试这些操作,只要用几个(jadx、charles、ida、uiautomatorviewer)工具就可以将功能全部分析清楚。

感叹这个作者确实很用心的去做这个轰炸的功能,去收集了406个的各类型的网站进行手机注册功能。

对于这种具有攻击性的APP还是要慎重下,免费APP功能的前提往往会有给APP植入后门或者病毒的存在。