怎么對惡意Android應(yīng)用Bangle Android App Packer的分析

怎么對惡意Android應(yīng)用Bangle Android App Packer的分析，針對這個(gè)問題，這篇文章詳細(xì)介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個(gè)問題的小伙伴找到更簡單易行的方法。

寫在前面的話

Trustlook Labs發(fā)現(xiàn)了一個(gè)惡意安卓應(yīng)用程序，它使用社會工程手法誘騙用戶安裝。這個(gè)應(yīng)用程序（MD5：eb9d394c1277372f01e36168a8587016）使用Bangle packer打包。

觸發(fā)該安裝應(yīng)用程序的主要活動為“com.goplaycn.googleinstall.activity.SplashActivity.”但是，神奇的是在反編譯代碼中的任何位置都找不到該行為：

接下來就跟這我們一起來研究研究吧！

審計(jì)代碼

我們從類SecAppWrapper開始審計(jì)，其中有一個(gè)“System.loadLibrary”調(diào)用load to load”secShell.“模塊中的本機(jī)層代碼，他主要負(fù)責(zé)從“assets\secData0.jar”中解密和加載應(yīng)用程序的主要負(fù)載，并經(jīng)過解密的壓縮DEX文件。

其中我們發(fā)現(xiàn)“secShell”模塊中的大多數(shù)方法名稱都經(jīng)過混淆，并且在使用時(shí)會對其字符串進(jìn)行解密。

該應(yīng)用程序會檢測手機(jī)中是否安裝了框架，如Xposed。Xposed是一個(gè)用于在運(yùn)行時(shí)操縱Android應(yīng)用程序流的框架。

該應(yīng)用程序還會分離子進(jìn)程并調(diào)用“ptrace”來附加到父進(jìn)程，以防止調(diào)試器進(jìn)行任何附加嘗試。多個(gè)進(jìn)程相互跟蹤以確保子進(jìn)程存活

該應(yīng)用程序并且會監(jiān)視/proc文件系統(tǒng)中的值以檢查進(jìn)程的狀態(tài)。

要說得一點(diǎn)是“secShell”模塊中的JNI_OnLoad函數(shù)具有兩個(gè)分支。一個(gè)分支負(fù)責(zé)反調(diào)試，另一個(gè)分支（位于下面的0x7543EAE4）將主要的DEX模塊進(jìn)行解密。

以下是解密函數(shù)：

在繞過反調(diào)試后，功能為“p34D946B85C4E13BE6E95110517F61C41”的模塊將解密數(shù)據(jù)。其中寄存器R0包含文件位置，由標(biāo)題字節(jié)“PK\x03\x04”標(biāo)識.R1存儲文件的大小。我們可以轉(zhuǎn)儲內(nèi)存：

解壓縮文件后，我們得到可以正常查看的DEX文件：

Android packers是保護(hù)合法移動應(yīng)用開發(fā)者知識產(chǎn)權(quán)的有價(jià)值的工具。然而，它們也可以用于惡意目的，并使分析惡意應(yīng)用程序更加困難。Trustlook Labs繼續(xù)致力于識別惡意應(yīng)用程序以保護(hù)我們的客戶和移動生態(tài)系統(tǒng)。

關(guān)于怎么對惡意Android應(yīng)用Bangle Android App Packer的分析問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識。