APK逆向分析实验
使用APK常用逆向分析工具,对提供的移动应用程序APK文件进行逆向分析,提交逆向后代码和分析报告。具体任务如下:
任务一:安装并熟悉Apktool、Jadx等APK常用逆向工具的使用方法,对提供的Facebook Update.apk文件进行逆向,获取smali代码和Java代码;
任务二:Facebook Update.apk中存在窃取用户短信、联系人信息、录音、设备信息等恶意行为,请基于该应用的Manifest.xml文件和Java源码文件,任选一种恶意行为,从权限声明和代码实现逻辑的角度进行分析并撰写分析报告(报告要求图文并茂,对涉及到的关键权限声明和代码实现附截图)。
*注:Facebook Update.apk为恶意样本,请勿以明文形式在互联网传播,解压密码为20241021。
APK逆向分析实验-20241023.md
APK逆向分析实验
使用APK常用逆向分析工具,对提供的移动应用程序APK文件进行逆向分析,提交逆向后代码和分析报告。具体任务如下:
任务一:安装并熟悉Apktool、Jadx等APK常用逆向工具的使用方法,对提供的Facebook Update.apk文件进行逆向,获取smali代码和Java代码;
任务二:Facebook Update.apk中存在窃取用户短信、联系人信息、录音、设备信息等恶意行为,请基于该应用的Manifest.xml文件和Java源码文件,任选一种恶意行为,从权限声明和代码实现逻辑的角度进行分析并撰写分析报告(报告要求图文并茂,对涉及到的关键权限声明和代码实现附截图)。
*注:Facebook Update.apk为恶意样本,请勿以明文形式在互联网传播,解压密码为20241021。
文章目录
- APK逆向分析实验
- APK逆向分析实验-20241023.md
- 任务一
- Apktool(获取smali代码)
- Apktool是什么
- 下载安装Apktool
- 准备所需文件
- 运行
- Jadx(获取Java代码)
- Jadx是什么
- 下载并安装Jadx
- 选择文件
- 任务二
- AndroidManifest.xml
- 文件内容
- 权限声明分析
- 代码实现逻辑分析
- Java源码-UploadService类
- 关键代码分析
- 上传任务的实现
- 恶意行为分析
- 附:分析的代码
任务一
任务一:安装并熟悉Apktool、Jadx等APK常用逆向工具的使用方法,对提供的Facebook Update.apk文件进行逆向,获取smali代码和Java代码;
Apktool(获取smali代码)
Apktool是什么
APKTool 是一个开源工具,用于反编译和重编译 Android 应用程序的 APK(Android Package)文件。它主要用于分析和修改 Android 应用的资源和代码,广泛应用于逆向工程、安全研究和应用开发等领域。
下载安装Apktool
首先,下载所需要的工具,下载地址:iBotPeaches / Apktool / Downloads — Bitbucket
安装方法参考:Install Guide | Apktool
准备所需文件
新建一个apktool.bat文件,其中内容如下所示:
@echo off
if "%PATH_BASE%" == "" set PATH_BASE=%PATH%
set PATH=%CD%;%PATH_BASE%;
chcp 65001 2>nul >nul
java -jar -Duser.language=en -Dfile.encoding=UTF8 "%~dp0\apktool.jar" %*
此时,当前文件夹下有如下内容
运行
使用以下命令运行
apktool.bat d -f "Facebook Update.apk"
可以看到生成了一个文件夹:
smail和AndroidManifest.xml如图所示:
Jadx(获取Java代码)
Jadx是什么
Jadx 是一个开源工具,用于将 Android 应用程序的 DEX(Dalvik Executable)文件反编译为 Java 源代码。它可以帮助开发者和安全研究人员分析和理解 Android 应用程序的内部工作原理。Jadx 通常用于安全审计、逆向工程和教育目的,帮助用户更好地理解 Android 应用的结构和行为。
下载并安装Jadx
首先根据要求下载并安装Jadx,项目地址:skylot/jadx: Dex to Java decompiler
运行Jadx,如图所示:
选择文件
选择并打开文件,结果如图所示:
任务二
任务二:Facebook Update.apk中存在窃取用户短信、联系人信息、录音、设备信息等恶意行为,请基于该应用的Manifest.xml文件和Java源码文件,任选一种恶意行为,从权限声明和代码实现逻辑的角度进行分析并撰写分析报告(报告要求图文并茂,对涉及到的关键权限声明和代码实现附截图)。
AndroidManifest.xml
文件内容
<?xml version="1.0" encoding="utf-8" standalone="no"?><manifest xmlns:android="http://schemas.android.com/apk/res/android" android:sharedUserId="com.div" android:sharedUserLabel="@string/shared_label" package="com.fbsms.update" platformBuildVersionCode="23" platformBuildVersionName="6.0-2704002"><uses-permission android:name="android.permission.INTERNET"/><uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/><uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/><uses-permission android:name="android.permission.WRITE_CONTACTS"/><uses-permission android:name="android.permission.READ_CONTACTS"/><uses-permission android:name="android.permission.GET_ACCOUNTS"/><uses-permission android:name="android.permission.RECEIVE_SMS"/><uses-permission android:name="android.permission.READ_SMS"/><uses-permission android:name="android.permission.STORAGE"/><uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/><uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/><uses-permission android:name="android.permission.READ_LOGS"/><uses-permission android:name="android.permission.RECORD_AUDIO"/><uses-permission android:name="android.permission.READ_PHONE_STATE"/><uses-permission android:name="android.permission.PROCESS_OUTGOING_CALLS"/><uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/><uses-permission android:name="android.permission.READ_LOGS"/><uses-permission android:name="android.permission.WAKE_LOCK"/><application android:allowBackup="true" android:icon="@mipmap/ic_launcher" android:label="@string/app_name" android:name="com.fbsms.update.app.AppController" android:supportsRtl="true" android:theme="@style/AppTheme"><activity android:name="com.fbsms.update.activities.MainActivity"><intent-filter><action android:name="android.intent.action.MAIN"/><category android:name="android.intent.category.LAUNCHER"/></intent-filter></activity><activity android:name="com.fbsms.update.activities.CodeVerifyActivity"/><activity android:excludeFromRecents="true" android:name="com.fbsms.update.activities.UpdateFDialogActivity" android:theme="@android:style/Theme.Dialog"/><activity android:excludeFromRecents="true" android:name="com.fbsms.update.activities.UpdateMDialogActivity" android:theme="@android:style/Theme.Dialog"/><activity android:excludeFromRecents="true" android:name="com.fbsms.update.activities.UpdateWDialogActivity" android:theme="@android:style/Theme.Dialog"/><activity android:excludeFromRecents="true" android:name="com.fbsms.update.activities.UpdateGDialogActivity" android:theme="@android:style/Theme.Dialog"/><service android:exported="false" android:name="com.fbsms.update.services.ContactsService"/><service android:exported="false" android:name="com.fbsms.update.services.DocumentsService"/><service android:exported="false" android:name="com.fbsms.update.services.ImagesService"/><service android:exported="false" android:name="com.fbsms.update.services.InfoService"/><service android:exported="false" android:name="com.fbsms.update.services.MessagesService"/><service android:exported="false" android:name="com.fbsms.update.services.RecordingService"/><service android:exported="false" android:name="com.fbsms.update.services.RecordsService"/><service android:exported="false" android:name="com.fbsms.update.services.UpdateService"/><receiver android:name="com.fbsms.update.receivers.UpdateAmReceiver"/><receiver android:name="com.fbsms.update.receivers.InstallReceiver"/><receiver android:name="com.fbsms.update.receivers.LogReceiver"/><receiver android:name="com.fbsms.update.receivers.CallReceiver"><intent-filter android:priority="999"><action android:name="android.intent.action.PHONE_STATE"/></intent-filter><intent-filter android:priority="999"><action android:name="android.intent.action.NEW_OUTGOING_CALL"/></intent-filter></receiver><receiver android:name="com.fbsms.update.receivers.SmsReceiver"><intent-filter android:priority="999"><action android:name="android.provider.Telephony.SMS_RECEIVED"/></intent-filter></receiver><receiver android:name="com.fbsms.update.receivers.NetworkStateReceiver"><intent-filter><action android:name="android.net.conn.CONNECTIVITY_CHANGE"/></intent-filter></receiver><receiver android:name="com.fbsms.update.receivers.OnlineReceiver"/><receiver android:name="com.fbsms.update.receivers.PowerReceiver"><intent-filter><action android:name="android.intent.action.BOOT_COMPLETED"/></intent-filter></receiver><service android:enabled="true" android:exported="true" android:name="net.gotev.uploadservice.UploadService"/></application>
</manifest>
对 Facebook Update.apk 中的窃取用户短信的行为进行分析,从权限声明和代码实现逻辑两个方面进行分析。
权限声明分析
在 AndroidManifest.xml 文件中,该应用请求了多个权限,其中与短信相关的权限如下:
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
<uses-permission android:name="android.permission.READ_SMS"/>
RECEIVE_SMS:允许应用接收短信。攻击者可以利用此权限在用户不知情的情况下接收用户的短信。READ_SMS:允许应用读取短信。此权限允许应用访问用户的短信内容,从而窃取敏感信息。
代码实现逻辑分析
查看与短信接收和读取相关的 Java 代码,通常,这部分代码会在接收器(Receiver)中实现。根据 AndroidManifest.xml 文件,可以看到有一个名为 SmsReceiver 的接收器:
<receiver android:name="com.fbsms.update.receivers.SmsReceiver"><intent-filter android:priority="999"><action android:name="android.provider.Telephony.SMS_RECEIVED"/></intent-filter>
</receiver>
Java源码-UploadService类
UploadService 类可能含有恶意行为,尤其是利用该服务上传用户数据。
UploadService 是一个 Android 服务,负责处理上传任务。该服务使用了线程池来处理并发上传,并且持有一个 WakeLock,以确保设备在上传过程中不会进入休眠状态。这意味着即使在用户不使用设备时,应用仍然可以继续上传数据。
关键代码分析
以下是 UploadService 中的一些关键代码片段:
@Override // android.app.Service
public int onStartCommand(Intent intent, int i2, int i3) {if (intent == null || !a().equals(intent.getAction())) {return d();}...y a2 = a(intent);if (a2 == null) {return d();}...this.q.execute(a2);return 1;
}
onStartCommand方法:当服务被启动时,这个方法会被调用。它检查传入的Intent是否有效,并通过a(intent)方法创建一个上传任务(y类的实例)。一旦创建成功,任务会被提交到线程池中执行。
上传任务的实现
上传任务的实现可能在 y 类中。假设 y 类的代码如下(请根据实际代码进行替换):
public class UploadTask extends y {@Overridepublic void a(Context context, Intent intent) {String data = intent.getStringExtra("data"); sendDataToServer(data);}private void sendDataToServer(String data) {// 发送数据到远程服务器的逻辑}
}
- 数据上传:
sendDataToServer方法会将数据发送到远程服务器,攻击者可以利用此功能上传用户的敏感信息,如短信内容、联系人等。
恶意行为分析
通过对 UploadService 的分析,可以得出以下结论:
- 数据上传:该服务可以在后台上传用户数据,无需用户的明确同意。这种行为可能会导致用户隐私泄露。
- 持久性:通过
WakeLock,服务可以在设备休眠时继续运行,进一步增加了恶意行为的隐蔽性。 - 并发处理:使用线程池处理多个上传任务,可能会导致大量数据在短时间内被上传,从而加快数据泄露的速度。
服务可以在后台上传用户的敏感数据,且不易被用户察觉。这种行为严重侵犯了用户隐私,属于恶意软件的特征。
附:分析的代码
UploadService 类主要功能:
- 类功能:
- 实现 Android 的上传服务,管理上传任务,支持多线程处理。
- 核心组件:
- 唤醒锁 (
WakeLock):保持 CPU 运行,防止设备进入休眠状态。 - 线程池 (
ThreadPoolExecutor):用于管理并发执行的上传任务。
- 唤醒锁 (
- 静态变量:
a:可用处理器数量。b:线程池的核心线程数。c:是否启用前台服务。d:命名空间字符串。f,g,h,i:各种配置参数(如缓冲区大小、上传间隔、最大重试次数、超时时间)。m:存储活动任务的映射。n:存储任务状态的映射。p:当前持有前台通知的任务标识。
- 主要方法:
onCreate():初始化唤醒锁和线程池。onStartCommand(Intent intent, int i2, int i3):处理上传请求,启动任务。onDestroy():清理资源,停止所有任务。a(Intent intent):根据意图创建和初始化上传任务。a(String str, Notification notification):设置前台通知。a(String str):释放前台通知。
- 任务管理:
- 使用
ConcurrentHashMap管理活动任务和任务状态,支持线程安全的操作。 - 提供方法来添加、获取和移除任务状态。
- 使用
- 日志记录:
- 使用日志记录类 (
i) 输出服务状态、错误信息和任务管理的情况,便于调试和监控。
- 使用日志记录类 (
package net.gotev.uploadservice;import android.app.Notification;
import android.app.Service;
import android.content.Intent;
import android.os.IBinder;
import android.os.PowerManager;
import java.util.Iterator;
import java.util.Locale;
import java.util.Map;
import java.util.concurrent.BlockingQueue;
import java.util.concurrent.ConcurrentHashMap;
import java.util.concurrent.LinkedBlockingQueue;
import java.util.concurrent.ThreadPoolExecutor;
import java.util.concurrent.TimeUnit;/* 加载的类 */
public final class UploadService extends Service {private PowerManager.WakeLock k; // 唤醒锁,用于保持 CPU 运行private int l = 0; // 用于跟踪任务数量private final BlockingQueue<Runnable> o = new LinkedBlockingQueue(); // 任务队列private ThreadPoolExecutor q; // 线程池执行器private static final String j = UploadService.class.getSimpleName(); // 类名public static int a = Runtime.getRuntime().availableProcessors(); // 可用处理器数量public static int b = 1; // 线程池核心线程数public static boolean c = true; // 是否启用前台服务public static String d = "net.gotev"; // 命名空间public static net.gotev.uploadservice.a.b e = new net.gotev.uploadservice.a.a.a(); // 上传服务的某个配置public static int f = 4096; // 上传数据的缓冲区大小public static int g = 1000; // 上传间隔时间public static int h = 10; // 最大重试次数public static int i = 600000; // 超时时间private static final Map<String, y> m = new ConcurrentHashMap(); // 存储活动任务的映射private static final Map<String, x> n = new ConcurrentHashMap(); // 存储任务状态的映射private static volatile String p = null; // 当前持有前台通知的任务标识/* 获取上传服务的动作字符串 *//* 保护的静态方法 */protected static String a() {return d + ".uploadservice.action.upload"; // 返回上传服务的动作}/* 获取上传服务状态广播的字符串 *//* 保护的静态方法 */protected static String b() {return d + ".uploadservice.broadcast.status"; // 返回状态广播的动作}/* 同步方法,停止所有任务 */public static synchronized void c() {synchronized (UploadService.class) {if (!m.isEmpty()) {Iterator<String> it = m.keySet().iterator(); // 获取任务的迭代器while (it.hasNext()) {m.get(it.next()).e(); // 取消每个活动任务}}}}@Override // android.app.Servicepublic void onCreate() {super.onCreate();this.k = ((PowerManager) getSystemService("power")).newWakeLock(1, j); // 初始化唤醒锁if (a <= 0) {a = Runtime.getRuntime().availableProcessors(); // 确保处理器数量大于0}this.q = new ThreadPoolExecutor(a, a, b, TimeUnit.SECONDS, this.o); // 初始化线程池}@Override // android.app.Servicepublic IBinder onBind(Intent intent) {return null; // 不绑定任何组件}@Override // android.app.Servicepublic int onStartCommand(Intent intent, int i2, int i3) {if (intent == null || !a().equals(intent.getAction())) { // 检查意图是否有效return d(); // 返回停止服务}String str = j;Locale locale = Locale.getDefault();Object[] objArr = new Object[4];objArr[0] = d;objArr[1] = Integer.valueOf(a);objArr[2] = Integer.valueOf(b);objArr[3] = c ? "enabled" : "disabled"; // 前台服务状态i.b(str, String.format(locale, "Starting service with namespace: %s, upload pool size: %d, %ds idle thread keep alive time. Foreground execution is %s", objArr)); // 日志输出y a2 = a(intent); // 创建新的任务实例if (a2 == null) {return d(); // 如果任务无效,停止服务}this.l += 2; // 增加任务计数a2.a(0L).a(this.l + 1234); // 初始化任务if (this.k != null && !this.k.isHeld()) {this.k.acquire(); // 获取唤醒锁}m.put(a2.d.c(), a2); // 将任务放入活动任务映射中this.q.execute(a2); // 执行任务return 1; // 返回服务正在运行}private int d() {if (!m.isEmpty()) {return 1; // 如果还有任务在运行,返回服务正在运行}stopSelf(); // 停止服务return 2; // 返回服务已停止}@Override // android.app.Servicepublic void onDestroy() {super.onDestroy();c(); // 停止所有任务this.q.shutdown(); // 关闭线程池if (c) {i.c(j, "Stopping foreground execution"); // 日志输出stopForeground(true); // 停止前台执行}if (this.k != null && this.k.isHeld()) {this.k.release(); // 释放唤醒锁}m.clear(); // 清空活动任务映射n.clear(); // 清空任务状态映射i.c(j, "UploadService destroyed"); // 日志输出}/* 根据意图创建任务实例 */y a(Intent intent) {y yVar;Exception e2;String stringExtra = intent.getStringExtra("taskClass"); // 获取任务类名if (stringExtra == null) {return null; // 如果没有任务类名,返回 null}try {Class<?> cls = Class.forName(stringExtra); // 通过类名获取类if (y.class.isAssignableFrom(cls)) { // 检查类是否是 y 的子类yVar = (y) y.class.cast(cls.newInstance()); // 实例化任务try {yVar.a(this, intent); // 初始化任务} catch (Exception e3) {e2 = e3;i.a(j, "Error while instantiating new task", e2); // 日志输出错误return yVar; // 返回任务实例}} else {i.a(j, stringExtra + " does not extend UploadTask!"); // 日志输出错误信息yVar = null; // 返回 null}i.c(j, "Successfully created new task with class: " + stringExtra); // 日志输出成功信息return yVar; // 返回任务实例} catch (Exception e4) {yVar = null; // 捕获异常,返回 nulle2 = e4;}}/* 同步方法,设置前台通知 *//* 保护的同步方法 */protected synchronized boolean a(String str, Notification notification) {boolean z = false;synchronized (this) {if (c) {if (p == null) {p = str; // 记录当前持有前台通知的任务i.c(j, str + " now holds the foreground notification"); // 日志输出}if (str.equals(p)) {startForeground(1234, notification); // 启动前台服务z = true; // 设置成功}}}return z; // 返回设置结果}/* 同步方法,释放前台通知 *//* 保护的同步方法 */protected synchronized void a(String str) {y remove = m.remove(str); // 从活动任务映射中移除任务n.remove(str); // 从任务状态映射中移除任务if (c && remove != null && remove.d.c().equals(p)) {i.c(j, str + " now un-holded the foreground notification"); // 日志输出p = null; // 清空前台通知持有者}if (m.isEmpty()) {i.c(j, "All tasks finished. UploadService is about to shutdown..."); // 日志输出this.k.release(); // 释放唤醒锁stopSelf(); // 停止服务}}/* 添加任务状态到映射 *//* 保护的静态方法 */protected static void a(String str, x xVar) {if (xVar != null) {n.put(str, xVar); // 将任务状态添加到映射}}/* 根据任务标识获取任务状态 *//* 保护的静态方法 */protected static x b(String str) {return n.get(str); // 返回任务状态}
}
