虚假交友APP(信息窃取)逆向分析

移动安全 3周前 admin

41 0 0

一

应用初探

群友发了一个交友APP，于是拿来分析一下。

可以看到应用打开后又一个登录的界面，需要用户输入手机号与验证码进行登录。

#在线云沙箱分析

将APK放入某安信云沙箱中分析，提示应用请求了过多的敏感权限。

二

逆向分析

直接拖入Jadx分析，好在程序没有加固，也没有任何混淆。

若直接点击注册会弹出以下窗口：

直接利用搜索大法定位到关键的位置：

沿着调用链向上回溯：

可以发现调用了startTimer 和 toLogin函数，进入startTimer函数分析。

发现程序APP进行一个90s的循环后就自动退出了，并不会启动其他什么奇奇怪怪的Activity(我有个朋友听到这个消息后特别失望)。

然后分析toLogin。

发现程序会创建一个 RxHttpJsonParam 对象并且请求的目标IP在Urls类中。

双机进入类可以看到相关的接口地址：

如果访问Reg接口成功的话，会进入一个匿名函数。

分析代码可以看到开发者编译的时候并没有把日志打印的函数給注释掉，所以这样能很方便咱们进行分析。

其中调用的函数包括获取短信内容，获取联系人信息，获取图片：

三

抓包分析

首先在断网情况下测试。

在这里我尝试去利用Frida去hook okhttp3 中的 connect函数，发现hook不到，但是在smail层面位置设置断电调试却可以断下来。

这里不明白是为什么，懂的大佬可以解释一下。

日志中打印出来这些内容：

接下将电脑和手机连接在同一网络中，配置手机的代理后直接用BP抓包分析。

点击注册后，程序会发送目标Reg接口发送用户填写的手机号、验证码、当前时间、当前时间加盐后的hash值、手机型号。

利用Repeat模块连续发了几次包之后，发现自己的IP被ban了，再次访问总是500。

四

主动调用

此时我的IP已经不可以注册 (这里考虑用梯子挂了全局代理，但是没有用)。肯定无法触发后续的恶意操作了，此时想到了利用Frida主动调用其中的恶意函数。

首先通过创建一个新的类去调用：

 let LoginActivity = Java.use("com.qinyue.vmain.activity.LoginActivity");
        var obj = LoginActivity.$new();
        console.log("getContacts()")
        obj.getContacts();
        LoginActivity["getContactsSms"].implementation = function () {
        console.log(`LoginActivity.getContactsSms is called`);
        this["getContactsSms"]();
    }

出现以下的错误：

考虑直接从堆栈中调用已经初始化过的类。

Java.choose("com.qinyue.vmain.activity.LoginActivity",{    //要hook的类
            onMatch:function(instance){
                console.log("onMatch ");
                let ret=instance.getContacts(); //要hook的方法
                instance.getContactsSms();
                instance.getPhoto();
            },
            onComplete:function(){
                console.log("result: " );

            }
        });

此时抓包分析：

可以看到此时向目标接口上传了一个图片。