记录一次逆向一款诈骗软件: hackram 的过程

hdm

No.1[start]:
前几天，在知乎刷到怎么一个帖子:



看到这，结合52大佬们在b站推出逆向教程
和用此技术用于推进网络安全的核心价值观
刚刚入门的我，终于迎来了一次贡献的机会

软件样本名称: hackram，SuperEsp(11/14更新成SuperEsp了)

软件作用: 开挂，对象是某平精英

逆向分析总结: 该软件属于诈骗软件,并且
在百度上的收录处于高频状态，只要输入开
挂相关的词前10条就会有它的网址，因此很
容易被那些想开挂的人下载到，在此，我不
讨论那些想开挂的人，我在此做的分析不针对
也不限于下载它的人，也奉劝那些想开挂的人
不要做一个游戏界里面的loser，此贴重点是
逆向分析并证明此软件就是一个诈骗软件，现在
已经改名成了SuperEsp，加入了某些反调试的检查
和模拟器检查。

No.1[end]




No.2[start]
模拟器看运行逻辑




现在让强制更新superesp，下载完superesp之后发现
运行不了

他们好精啊，也会看论坛，发现风向不对就开始换壳处理
既然你新版不给模拟器用，也没事因为之前因为逆向过
它这个更新就是通过接口来查版本的，我直接抓包修改就可以


5.0.4这就是superesp的版本，连返回都不加密一下
哈哈哈,改成4.3.0hackram的版本，自动响应,我看看你
能不能跑起来

然后跑不起来，那检查的就是别的接口

直接禁用这个接口，正常运行








运行之后，软件要你授权，不管点哪个都提示授权
就是这个授权，你打开授权设备界面，出来一个二维码
让你去支付，之后你就会发生回去点哪个也还是提升你要
授权，为什么呢? to -> No.3,让jadx告诉我们答案


No.2[end]





No.3[start]

然后就是托进mt查壳，没有壳的话直接jadx伺候

有时候这些人还挺懂搞技术上的幽默的
看到御加固，有加固就先搞定加固，这个加固也很简单

抽dex,修dex，合并dex,拖入原软件,就可以。
去御加固这个网上教程多，可以自己去看。



去掉加固之后直接jadx伺候



查找关键字


露出它的真面目了吧









只有一个动画效果postDelayed，没有任何实际功能
目的只是单纯的想重那些想开挂的人身上狠狠宰一笔


No.3[end]

hdm

Tianmoy 发表于 2023-11-15 08:45
感谢分享！ 下次我自己去试试

建议上它的新版superesp，它加入混淆了，但是没有加固，可以试试哦

hdm

wang20 发表于 2023-11-14 21:52
不要轻信免费的东西哦，感谢楼主曝光

应该是我表达有问题，这个软件不是通过免费这种方式来骗人的，而且用各种很外挂相关具有很强诱惑性的空壳功能界面来诱导别人去充值授权，充值后也不会有什么用，就只是个空壳诈骗app

9nyzce

感谢分享，学习了

awesome91

我是来学抓包的。

Award

感谢分享！

489496

awesome91 发表于 2023-11-14 21:06
我是来学抓包的。

我也是嘻嘻

x666777888

学习了，666666666

wang20

不要轻信免费的东西哦，感谢楼主曝光

awesome91

libiaosong123 发表于 2023-11-14 21:25
我也是来学抓包的

手机没ROOT，抓不到建行APP

hdm

libiaosong123 发表于 2023-11-14 21:25
我也是来学抓包的

抓包这个技术点的话我认为比较好学，你可以试试去搞一下它的新版，superesp用了新的加密和混淆