APK逆向分析实验
使用APK常用逆向分析工具,对提供的移动应用程序APK文件进行逆向分析,提交逆向后代码和分析报告。具体任务如下:
任务一:安装并熟悉Apktool、Jadx等APK常用逆向工具的使用方法,对提供的Facebook Update.apk文件进行逆向,获取smali代码和Java代码;
任务二:Facebook Update.apk中存在窃取用户短信、联系人信息、录音、设备信息等恶意行为,请基于该应用的Manifest.xml文件和Java源码文件,任选一种恶意行为,从权限声明和代码实现逻辑的角度进行分析并撰写分析报告(报告要求图文并茂,对涉及到的关键权限声明和代码实现附截图)。
*注:Facebook Update.apk为恶意样本,请勿以明文形式在互联网传播,解压密码为20241021。
APK逆向分析实验-20241023.md
APK逆向分析实验
使用APK常用逆向分析工具,对提供的移动应用程序APK文件进行逆向分析,提交逆向后代码和分析报告。具体任务如下:
任务一:安装并熟悉Apktool、Jadx等APK常用逆向工具的使用方法,对提供的Facebook Update.apk文件进行逆向,获取smali代码和Java代码;
任务二:Facebook Update.apk中存在窃取用户短信、联系人信息、录音、设备信息等恶意行为,请基于该应用的Manifest.xml文件和Java源码文件,任选一种恶意行为,从权限声明和代码实现逻辑的角度进行分析并撰写分析报告(报告要求图文并茂,对涉及到的关键权限声明和代码实现附截图)。
*注:Facebook Update.apk为恶意样本,请勿以明文形式在互联网传播,解压密码为20241021。
文章目录
任务一
任务一:安装并熟悉Apktool、Jadx等APK常用逆向工具的使用方法,对提供的Facebook Update.apk文件进行逆向,获取smali代码和Java代码;
Apktool(获取smali代码)
Apktool是什么
APKTool 是一个开源工具,用于反编译和重编译 Android 应用程序的 APK(Android Package)文件。它主要用于分析和修改 Android 应用的资源和代码,广泛应用于逆向工程、安全研究和应用开发等领域。
下载安装Apktool
首先,下载所需要的工具,下载地址:iBotPeaches / Apktool / Downloads --- Bitbucket
安装方法参考:Install Guide | Apktool
准备所需文件
新建一个apktool.bat文件,其中内容如下所示:
bash
@echo off
if "%PATH_BASE%" == "" set PATH_BASE=%PATH%
set PATH=%CD%;%PATH_BASE%;
chcp 65001 2>nul >nul
java -jar -Duser.language=en -Dfile.encoding=UTF8 "%~dp0\apktool.jar" %*此时,当前文件夹下有如下内容
运行
使用以下命令运行
bash
apktool.bat d -f "Facebook Update.apk"
可以看到生成了一个文件夹:
smail和AndroidManifest.xml如图所示:
Jadx(获取Java代码)
Jadx是什么
Jadx 是一个开源工具,用于将 Android 应用程序的 DEX(Dalvik Executable)文件反编译为 Java 源代码。它可以帮助开发者和安全研究人员分析和理解 Android 应用程序的内部工作原理。Jadx 通常用于安全审计、逆向工程和教育目的,帮助用户更好地理解 Android 应用的结构和行为。
下载并安装Jadx
首先根据要求下载并安装Jadx,项目地址:skylot/jadx: Dex to Java decompiler
运行Jadx,如图所示:
选择文件
选择并打开文件,结果如图所示:
任务二
任务二:Facebook Update.apk中存在窃取用户短信、联系人信息、录音、设备信息等恶意行为,请基于该应用的Manifest.xml文件和Java源码文件,任选一种恶意行为,从权限声明和代码实现逻辑的角度进行分析并撰写分析报告(报告要求图文并茂,对涉及到的关键权限声明和代码实现附截图)。
AndroidManifest.xml
文件内容
bash
<?xml version="1.0" encoding="utf-8" standalone="no"?><manifest xmlns:android="http://schemas.android.com/apk/res/android" android:sharedUserId="com.div" android:sharedUserLabel="@string/shared_label" package="com.fbsms.update" platformBuildVersionCode="23" platformBuildVersionName="6.0-2704002">
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>
<uses-permission android:name="android.permission.WRITE_CONTACTS"/>
<uses-permission android:name="android.permission.READ_CONTACTS"/>
<uses-permission android:name="android.permission.GET_ACCOUNTS"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.STORAGE"/>
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
<uses-permission android:name="android.permission.READ_LOGS"/>
<uses-permission android:name="android.permission.RECORD_AUDIO"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<uses-permission android:name="android.permission.PROCESS_OUTGOING_CALLS"/>
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
<uses-permission android:name="android.permission.READ_LOGS"/>
<uses-permission android:name="android.permission.WAKE_LOCK"/>
<application android:allowBackup="true" android:icon="@mipmap/ic_launcher" android:label="@string/app_name" android:name="com.fbsms.update.app.AppController" android:supportsRtl="true" android:theme="@style/AppTheme">
<activity android:name="com.fbsms.update.activities.MainActivity">
<intent-filter>
<action android:name="android.intent.action.MAIN"/>
<category android:name="android.intent.category.LAUNCHER"/>
</intent-filter>
</activity>
<activity android:name="com.fbsms.update.activities.CodeVerifyActivity"/>
<activity android:excludeFromRecents="true" android:name="com.fbsms.update.activities.UpdateFDialogActivity" android:theme="@android:style/Theme.Dialog"/>
<activity android:excludeFromRecents="true" android:name="com.fbsms.update.activities.UpdateMDialogActivity" android:theme="@android:style/Theme.Dialog"/>
<activity android:excludeFromRecents="true" android:name="com.fbsms.update.activities.UpdateWDialogActivity" android:theme="@android:style/Theme.Dialog"/>
<activity android:excludeFromRecents="true" android:name="com.fbsms.update.activities.UpdateGDialogActivity" android:theme="@android:style/Theme.Dialog"/>
<service android:exported="false" android:name="com.fbsms.update.services.ContactsService"/>
<service android:exported="false" android:name="com.fbsms.update.services.DocumentsService"/>
<service android:exported="false" android:name="com.fbsms.update.services.ImagesService"/>
<service android:exported="false" android:name="com.fbsms.update.services.InfoService"/>
<service android:exported="false" android:name="com.fbsms.update.services.MessagesService"/>
<service android:exported="false" android:name="com.fbsms.update.services.RecordingService"/>
<service android:exported="false" android:name="com.fbsms.update.services.RecordsService"/>
<service android:exported="false" android:name="com.fbsms.update.services.UpdateService"/>
<receiver android:name="com.fbsms.update.receivers.UpdateAmReceiver"/>
<receiver android:name="com.fbsms.update.receivers.InstallReceiver"/>
<receiver android:name="com.fbsms.update.receivers.LogReceiver"/>
<receiver android:name="com.fbsms.update.receivers.CallReceiver">
<intent-filter android:priority="999">
<action android:name="android.intent.action.PHONE_STATE"/>
</intent-filter>
<intent-filter android:priority="999">
<action android:name="android.intent.action.NEW_OUTGOING_CALL"/>
</intent-filter>
</receiver>
<receiver android:name="com.fbsms.update.receivers.SmsReceiver">
<intent-filter android:priority="999">
<action android:name="android.provider.Telephony.SMS_RECEIVED"/>
</intent-filter>
</receiver>
<receiver android:name="com.fbsms.update.receivers.NetworkStateReceiver">
<intent-filter>
<action android:name="android.net.conn.CONNECTIVITY_CHANGE"/>
</intent-filter>
</receiver>
<receiver android:name="com.fbsms.update.receivers.OnlineReceiver"/>
<receiver android:name="com.fbsms.update.receivers.PowerReceiver">
<intent-filter>
<action android:name="android.intent.action.BOOT_COMPLETED"/>
</intent-filter>
</receiver>
<service android:enabled="true" android:exported="true" android:name="net.gotev.uploadservice.UploadService"/>
</application>
</manifest>对 Facebook Update.apk 中的窃取用户短信的行为进行分析,从权限声明和代码实现逻辑两个方面进行分析。
权限声明分析
在 AndroidManifest.xml 文件中,该应用请求了多个权限,其中与短信相关的权限如下:
xml
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
<uses-permission android:name="android.permission.READ_SMS"/>RECEIVE_SMS:允许应用接收短信。攻击者可以利用此权限在用户不知情的情况下接收用户的短信。READ_SMS:允许应用读取短信。此权限允许应用访问用户的短信内容,从而窃取敏感信息。
代码实现逻辑分析
查看与短信接收和读取相关的 Java 代码,通常,这部分代码会在接收器(Receiver)中实现。根据 AndroidManifest.xml 文件,可以看到有一个名为 SmsReceiver 的接收器:
xml
<receiver android:name="com.fbsms.update.receivers.SmsReceiver">
<intent-filter android:priority="999">
<action android:name="android.provider.Telephony.SMS_RECEIVED"/>
</intent-filter>
</receiver>Java源码-UploadService类
UploadService 类可能含有恶意行为,尤其是利用该服务上传用户数据。
UploadService 是一个 Android 服务,负责处理上传任务。该服务使用了线程池来处理并发上传,并且持有一个 WakeLock,以确保设备在上传过程中不会进入休眠状态。这意味着即使在用户不使用设备时,应用仍然可以继续上传数据。
关键代码分析
以下是 UploadService 中的一些关键代码片段:
java
@Override // android.app.Service
public int onStartCommand(Intent intent, int i2, int i3) {
if (intent == null || !a().equals(intent.getAction())) {
return d();
}
...
y a2 = a(intent);
if (a2 == null) {
return d();
}
...
this.q.execute(a2);
return 1;
}onStartCommand方法 :当服务被启动时,这个方法会被调用。它检查传入的Intent是否有效,并通过a(intent)方法创建一个上传任务(y类的实例)。一旦创建成功,任务会被提交到线程池中执行。
上传任务的实现
上传任务的实现可能在 y 类中。假设 y 类的代码如下(请根据实际代码进行替换):
java
public class UploadTask extends y {
@Override
public void a(Context context, Intent intent) {
String data = intent.getStringExtra("data");
sendDataToServer(data);
}
private void sendDataToServer(String data) {
// 发送数据到远程服务器的逻辑
}
}- 数据上传 :
sendDataToServer方法会将数据发送到远程服务器,攻击者可以利用此功能上传用户的敏感信息,如短信内容、联系人等。
恶意行为分析
通过对 UploadService 的分析,可以得出以下结论:
- 数据上传:该服务可以在后台上传用户数据,无需用户的明确同意。这种行为可能会导致用户隐私泄露。
- 持久性 :通过
WakeLock,服务可以在设备休眠时继续运行,进一步增加了恶意行为的隐蔽性。 - 并发处理:使用线程池处理多个上传任务,可能会导致大量数据在短时间内被上传,从而加快数据泄露的速度。
服务可以在后台上传用户的敏感数据,且不易被用户察觉。这种行为严重侵犯了用户隐私,属于恶意软件的特征。
附:分析的代码
UploadService 类主要功能:
- 类功能 :
- 实现 Android 的上传服务,管理上传任务,支持多线程处理。
- 核心组件 :
- 唤醒锁 (
WakeLock):保持 CPU 运行,防止设备进入休眠状态。 - 线程池 (
ThreadPoolExecutor):用于管理并发执行的上传任务。
- 唤醒锁 (
- 静态变量 :
a:可用处理器数量。b:线程池的核心线程数。c:是否启用前台服务。d:命名空间字符串。f,g,h,i:各种配置参数(如缓冲区大小、上传间隔、最大重试次数、超时时间)。m:存储活动任务的映射。n:存储任务状态的映射。p:当前持有前台通知的任务标识。
- 主要方法 :
onCreate():初始化唤醒锁和线程池。onStartCommand(Intent intent, int i2, int i3):处理上传请求,启动任务。onDestroy():清理资源,停止所有任务。a(Intent intent):根据意图创建和初始化上传任务。a(String str, Notification notification):设置前台通知。a(String str):释放前台通知。
- 任务管理 :
- 使用
ConcurrentHashMap管理活动任务和任务状态,支持线程安全的操作。 - 提供方法来添加、获取和移除任务状态。
- 使用
- 日志记录 :
- 使用日志记录类 (
i) 输出服务状态、错误信息和任务管理的情况,便于调试和监控。
- 使用日志记录类 (
java
package net.gotev.uploadservice;
import android.app.Notification;
import android.app.Service;
import android.content.Intent;
import android.os.IBinder;
import android.os.PowerManager;
import java.util.Iterator;
import java.util.Locale;
import java.util.Map;
import java.util.concurrent.BlockingQueue;
import java.util.concurrent.ConcurrentHashMap;
import java.util.concurrent.LinkedBlockingQueue;
import java.util.concurrent.ThreadPoolExecutor;
import java.util.concurrent.TimeUnit;
/* 加载的类 */
public final class UploadService extends Service {
private PowerManager.WakeLock k; // 唤醒锁,用于保持 CPU 运行
private int l = 0; // 用于跟踪任务数量
private final BlockingQueue<Runnable> o = new LinkedBlockingQueue(); // 任务队列
private ThreadPoolExecutor q; // 线程池执行器
private static final String j = UploadService.class.getSimpleName(); // 类名
public static int a = Runtime.getRuntime().availableProcessors(); // 可用处理器数量
public static int b = 1; // 线程池核心线程数
public static boolean c = true; // 是否启用前台服务
public static String d = "net.gotev"; // 命名空间
public static net.gotev.uploadservice.a.b e = new net.gotev.uploadservice.a.a.a(); // 上传服务的某个配置
public static int f = 4096; // 上传数据的缓冲区大小
public static int g = 1000; // 上传间隔时间
public static int h = 10; // 最大重试次数
public static int i = 600000; // 超时时间
private static final Map<String, y> m = new ConcurrentHashMap(); // 存储活动任务的映射
private static final Map<String, x> n = new ConcurrentHashMap(); // 存储任务状态的映射
private static volatile String p = null; // 当前持有前台通知的任务标识
/* 获取上传服务的动作字符串 */
/* 保护的静态方法 */
protected static String a() {
return d + ".uploadservice.action.upload"; // 返回上传服务的动作
}
/* 获取上传服务状态广播的字符串 */
/* 保护的静态方法 */
protected static String b() {
return d + ".uploadservice.broadcast.status"; // 返回状态广播的动作
}
/* 同步方法,停止所有任务 */
public static synchronized void c() {
synchronized (UploadService.class) {
if (!m.isEmpty()) {
Iterator<String> it = m.keySet().iterator(); // 获取任务的迭代器
while (it.hasNext()) {
m.get(it.next()).e(); // 取消每个活动任务
}
}
}
}
@Override // android.app.Service
public void onCreate() {
super.onCreate();
this.k = ((PowerManager) getSystemService("power")).newWakeLock(1, j); // 初始化唤醒锁
if (a <= 0) {
a = Runtime.getRuntime().availableProcessors(); // 确保处理器数量大于0
}
this.q = new ThreadPoolExecutor(a, a, b, TimeUnit.SECONDS, this.o); // 初始化线程池
}
@Override // android.app.Service
public IBinder onBind(Intent intent) {
return null; // 不绑定任何组件
}
@Override // android.app.Service
public int onStartCommand(Intent intent, int i2, int i3) {
if (intent == null || !a().equals(intent.getAction())) { // 检查意图是否有效
return d(); // 返回停止服务
}
String str = j;
Locale locale = Locale.getDefault();
Object[] objArr = new Object[4];
objArr[0] = d;
objArr[1] = Integer.valueOf(a);
objArr[2] = Integer.valueOf(b);
objArr[3] = c ? "enabled" : "disabled"; // 前台服务状态
i.b(str, String.format(locale, "Starting service with namespace: %s, upload pool size: %d, %ds idle thread keep alive time. Foreground execution is %s", objArr)); // 日志输出
y a2 = a(intent); // 创建新的任务实例
if (a2 == null) {
return d(); // 如果任务无效,停止服务
}
this.l += 2; // 增加任务计数
a2.a(0L).a(this.l + 1234); // 初始化任务
if (this.k != null && !this.k.isHeld()) {
this.k.acquire(); // 获取唤醒锁
}
m.put(a2.d.c(), a2); // 将任务放入活动任务映射中
this.q.execute(a2); // 执行任务
return 1; // 返回服务正在运行
}
private int d() {
if (!m.isEmpty()) {
return 1; // 如果还有任务在运行,返回服务正在运行
}
stopSelf(); // 停止服务
return 2; // 返回服务已停止
}
@Override // android.app.Service
public void onDestroy() {
super.onDestroy();
c(); // 停止所有任务
this.q.shutdown(); // 关闭线程池
if (c) {
i.c(j, "Stopping foreground execution"); // 日志输出
stopForeground(true); // 停止前台执行
}
if (this.k != null && this.k.isHeld()) {
this.k.release(); // 释放唤醒锁
}
m.clear(); // 清空活动任务映射
n.clear(); // 清空任务状态映射
i.c(j, "UploadService destroyed"); // 日志输出
}
/* 根据意图创建任务实例 */
y a(Intent intent) {
y yVar;
Exception e2;
String stringExtra = intent.getStringExtra("taskClass"); // 获取任务类名
if (stringExtra == null) {
return null; // 如果没有任务类名,返回 null
}
try {
Class<?> cls = Class.forName(stringExtra); // 通过类名获取类
if (y.class.isAssignableFrom(cls)) { // 检查类是否是 y 的子类
yVar = (y) y.class.cast(cls.newInstance()); // 实例化任务
try {
yVar.a(this, intent); // 初始化任务
} catch (Exception e3) {
e2 = e3;
i.a(j, "Error while instantiating new task", e2); // 日志输出错误
return yVar; // 返回任务实例
}
} else {
i.a(j, stringExtra + " does not extend UploadTask!"); // 日志输出错误信息
yVar = null; // 返回 null
}
i.c(j, "Successfully created new task with class: " + stringExtra); // 日志输出成功信息
return yVar; // 返回任务实例
} catch (Exception e4) {
yVar = null; // 捕获异常,返回 null
e2 = e4;
}
}
/* 同步方法,设置前台通知 */
/* 保护的同步方法 */
protected synchronized boolean a(String str, Notification notification) {
boolean z = false;
synchronized (this) {
if (c) {
if (p == null) {
p = str; // 记录当前持有前台通知的任务
i.c(j, str + " now holds the foreground notification"); // 日志输出
}
if (str.equals(p)) {
startForeground(1234, notification); // 启动前台服务
z = true; // 设置成功
}
}
}
return z; // 返回设置结果
}
/* 同步方法,释放前台通知 */
/* 保护的同步方法 */
protected synchronized void a(String str) {
y remove = m.remove(str); // 从活动任务映射中移除任务
n.remove(str); // 从任务状态映射中移除任务
if (c && remove != null && remove.d.c().equals(p)) {
i.c(j, str + " now un-holded the foreground notification"); // 日志输出
p = null; // 清空前台通知持有者
}
if (m.isEmpty()) {
i.c(j, "All tasks finished. UploadService is about to shutdown..."); // 日志输出
this.k.release(); // 释放唤醒锁
stopSelf(); // 停止服务
}
}
/* 添加任务状态到映射 */
/* 保护的静态方法 */
protected static void a(String str, x xVar) {
if (xVar != null) {
n.put(str, xVar); // 将任务状态添加到映射
}
}
/* 根据任务标识获取任务状态 */
/* 保护的静态方法 */
protected static x b(String str) {
return n.get(str); // 返回任务状态
}
}