拿到样本之后先放到模拟器里面,看到目标网站已经下线了,看来是一个已经被“拿下的目标”。放到奇安信的威胁情报平台上分析一波,这里出结果需要点功夫,先自己分析一下,可以看到这里是伪装成了一个官方的虚假app.
拿到之后先用apktool解压,然后再去各个目录看一下。
先来看一下这个文件的权限信息和入口。
接着得到了下面的信息:
android.permission.INTERNET //允许程序打开网络套接字
android.permission.WRITE_EXTERNAL_STORAGE //读写SD卡的权限
android.permission.ACCESS_NETWORK_STATE //获取网络信息状态
android.permission.ACCESS_WIFI_STATE //获取wifi状态
android.permission.REQUEST_INSTALL_PACKAGES //允许安装未知来源权限
android.permission.READ_EXTERNAL_STORAGE //读取存储卡权限
com.asus.msa.SupplementaryDID.ACCESS //获取厂商oaid相关权限
从这里可以得知入口是HuanyinActivity。
这里可以看到存放着刚才模拟器打开时的图标。
这里放着apk签名相关的文件。
这个目录暴露出了外联的网站信息。
接下来再用android killer对这个apk进行反编译查看java源码。
可以看到进去入口之后,会再启动MainActivity。
这里就可以得知刚才的json文件果然是存放着外联的信息,利用getJson函数读取信息,然后使用webViewBox与目标外联进行连接。
之后的东西就是一些视图了。
转自:盘古石取证,作者:中央司法警院达达
原文始发于微信公众号(电子物证):【网诈app】样本分析一例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论