快捷搜索:  网络  CVE  渗透  后门  扫描  木马  黑客  as

对恶意Android应用Bangle Android App Packer的阐发

写在前面的话

近日Trustlook Labs发现了一个恶意安卓应用程序,它使用社会工程伎俩诱骗用户装置。这个应用程序(MD5:eb9d394c1277372f01e36168a8587016)使用Bangle packer打包。

触发该装置应用程序的首要活动为“com.goplaycn.googleinstall.activity.SplashActivity.”然则,神奇的是在反编译代码中的任何地位都找不到该举动:对恶意Android应用Bangle Android App Packer的分析

接下来就跟这我们一块儿来研究研究吧!

审计代码

我们从类SecAppWrapper最先审计,其中有一个“System.loadLibrary”调用load to load”secShell.“模块中的本机层代码,他首要负责从“assets\secData0.jar”中解密以及加载应用程序的首要负载,并经过解密的压缩DEX文件。对恶意Android应用Bangle Android App Packer的分析对恶意Android应用Bangle Android App Packer的分析

其中我们发现“secShell”模块中的大多数要领名称都经过混淆,并且在使用时会对其字符串进行解密。对恶意Android应用Bangle Android App Packer的分析

该应用程序会检测手机中是否装置了框架,如Xposed。Xposed是一个用于在运行时操纵Android应用程序流的框架。对恶意Android应用Bangle Android App Packer的分析

对恶意Android应用Bangle Android App Packer的分析该应用程序还会星散子进程并调用“ptrace”来附加到父进程,以防止调试器进行任何附加尝试。多个进程相互跟踪以确保子进程存活对恶意Android应用Bangle Android App Packer的分析对恶意Android应用Bangle Android App Packer的分析对恶意Android应用Bangle Android App Packer的分析该应用程序并且会监视/proc文件体系中的值以检查进程的状态。对恶意Android应用Bangle Android App Packer的分析要说得一点是“secShell”模块中的JNI_OnLoad函数具有两个分支。一个分支负责反调试,另一个分支(位于下面的0x7543EAE4)将首要的DEX模块进行解密。
对恶意Android应用Bangle Android App Packer的分析下列是解密函数:对恶意Android应用Bangle Android App Packer的分析对恶意Android应用Bangle Android App Packer的分析在绕过反调试后,功能为“p34D946B85C4E13BE6E95110517F61C41”的模块将解密数据。其中寄存器R0包含文件地位,由标题字节“PK\x03\x04”标识.R1存储文件的大小。对恶意Android应用Bangle Android App Packer的分析对恶意Android应用Bangle Android App Packer的分析我们可以转储内存:对恶意Android应用Bangle Android App Packer的分析解压缩文件后,我们得到可以正常查看的DEX文件:对恶意Android应用Bangle Android App Packer的分析

总结

Android packers是维护合法挪移应用开发者知识产权的有价值的工具。然而,它们也能够用于恶意目的,并使阐发恶意应用程序愈加难题。Trustlook Labs继续致力于识别恶意应用程序以维护我们的客户以及挪移生态体系。

*参考来源:trustlook,由周大涛编译,

您可能还会对下面的文章感兴趣: