虚假交友APP(信息窃取)逆向分析

admin
admin
admin
138648
文章
114
评论
2024年4月10日15:39:39评论50 views字数 1754阅读5分50秒阅读模式

应用初探
群友发了一个交友APP,于是拿来分析一下。
虚假交友APP(信息窃取)逆向分析
可以看到应用打开后又一个登录的界面,需要用户输入手机号与验证码进行登录。

#在线云沙箱分析

将APK放入某安信云沙箱中分析,提示应用请求了过多的敏感权限。
虚假交友APP(信息窃取)逆向分析

逆向分析
直接拖入Jadx分析,好在程序没有加固,也没有任何混淆。
虚假交友APP(信息窃取)逆向分析
若直接点击注册会弹出以下窗口:
虚假交友APP(信息窃取)逆向分析
直接利用搜索大法定位到关键的位置:
虚假交友APP(信息窃取)逆向分析
虚假交友APP(信息窃取)逆向分析
沿着调用链向上回溯:
虚假交友APP(信息窃取)逆向分析
可以发现调用了startTimer 和 toLogin函数,进入startTimer函数分析。
虚假交友APP(信息窃取)逆向分析
发现程序APP进行一个90s的循环后就自动退出了,并不会启动其他什么奇奇怪怪的Activity(我有个朋友听到这个消息后特别失望)。

然后分析toLogin。
虚假交友APP(信息窃取)逆向分析
发现程序会创建一个 RxHttpJsonParam 对象并且请求的目标IP在Urls类中。

双机进入类可以看到相关的接口地址:
虚假交友APP(信息窃取)逆向分析
如果访问Reg接口成功的话,会进入一个匿名函数。
虚假交友APP(信息窃取)逆向分析
分析代码可以看到开发者编译的时候并没有把日志打印的函数給注释掉,所以这样能很方便咱们进行分析。

其中调用的函数包括获取短信内容,获取联系人信息,获取图片:
虚假交友APP(信息窃取)逆向分析

抓包分析
首先在断网情况下测试。
虚假交友APP(信息窃取)逆向分析
在这里我尝试去利用Frida去hook okhttp3 中的 connect函数,发现hook不到,但是在smail层面位置设置断电调试却可以断下来。
这里不明白是为什么 ,懂的大佬可以解释一下。
虚假交友APP(信息窃取)逆向分析
虚假交友APP(信息窃取)逆向分析
日志中打印出来这些内容:
虚假交友APP(信息窃取)逆向分析
接下将电脑和手机连接在同一网络中,配置手机的代理后直接用BP抓包分析。
点击注册后,程序会发送目标Reg接口发送用户填写的手机号、验证码、当前时间、当前时间加盐后的hash值、手机型号。

利用Repeat模块连续发了几次包之后,发现自己的IP被ban了,再次访问总是500。
虚假交友APP(信息窃取)逆向分析

主动调用
此时我的IP已经不可以注册 (这里考虑用梯子挂了全局代理,但是没有用)。肯定无法触发后续的恶意操作了,此时想到了利用Frida主动调用其中的恶意函数。

首先通过创建一个新的类去调用:
 
let LoginActivity = Java.use("com.qinyue.vmain.activity.LoginActivity");
        var obj = LoginActivity.$new();
        console.log("getContacts()")
        obj.getContacts();
        LoginActivity["getContactsSms"].implementation = function () {
        console.log(`LoginActivity.getContactsSms is called`);
        this["getContactsSms"]();
    }
出现以下的错误:
虚假交友APP(信息窃取)逆向分析
考虑直接从堆栈中调用已经初始化过的类。
Java.choose("com.qinyue.vmain.activity.LoginActivity",{    //要hook的类
            onMatch:function(instance){
                console.log("onMatch ");
                let ret=instance.getContacts(); //要hook的方法
                instance.getContactsSms();
                instance.getPhoto();
            },
            onComplete:function(){
                console.log("result: " );

            }
        });
此时抓包分析:
虚假交友APP(信息窃取)逆向分析
可以看到此时向目标接口上传了一个图片。

流量分析
Wireshark抓包,分析一下。
虚假交友APP(信息窃取)逆向分析
随便提取一个出来看看:
虚假交友APP(信息窃取)逆向分析
恰好就是我之前保存的应用截图。
虚假交友APP(信息窃取)逆向分析
并且从日志中可以看到应用上传了相当多的信息(通讯录信息 各种图片)。
虚假交友APP(信息窃取)逆向分析

总结
该APP也算是一个比较简单的恶意APP,无加壳无混淆,甚至开发者为了自己方便编写的Log函数也没有删除,数据在传输过程中也没有加密。
但是这样简单的一个仅有一张封面的APP,假如有小白中招,也是会造成很十分严重的数据泄露风险的。因此网络世界真真假假,假假真真,还是希望大家文明上网吧!

虚假交友APP(信息窃取)逆向分析

看雪ID:Just_Cracker

https://bbs.kanxue.com/user-home-946278.htm

*本文为看雪论坛优秀文章,由 Just_Cracker 原创,转载请注明来自看雪社区

虚假交友APP(信息窃取)逆向分析

# 

原文始发于微信公众号(看雪学苑):虚假交友APP(信息窃取)逆向分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月10日15:39:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   虚假交友APP(信息窃取)逆向分析http://cn-sec.com/archives/2638790.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息