逆向分析某QQ恶意自动邀请加群APK

boomsoap

一：基本原理
APK通过调用了qq登陆并实现了使用者的QQ群的读取,让使用者自动的邀请指定的QQ号，而指定QQ号再进行群发消息传播有害信息和诱导apk下载。

进入apk只有一个背景页面（这背景页面像极了快手）和提示框，点击取消再次弹出提示框，点击立即登陆则会调用qq，调用以后会以你的名义在你的常用qq群中拉人。







二：Android killer 反编译

这款apk找不到StartActivity的入口，不能直接从入口读取到smail反编译后含有大量的so,so的名字为jiagu.so。而smail文件中的qihoo360说明了该应用使用了360加固。
三：脱壳qihoo360加固
这次使用现成的Xposed脱壳模块来进行脱壳。dumpDex-Android脱壳Xposed模块来进行脱壳。
模块源码地址：https://github.com/WrBug/dumpDex。安装模块后重启，安装apk后直接在data/data/包名下生成了dump文件夹Dump文件夹中是使用xposed模块以后得到反编译后的dex文件
这么多的dex文件中只有一个是相应的源码，一个一个的试，看谁的内容比较像。一般大小和apk差不多的有很大可能是。
三：jadx源码分析
通过jadx直接打开dex文件就得到了源码

虽然左边包名不能显示中文，但是源码中有很多中文，而e4a.runtime这个包也告诉我们这个apk是用易语言写的。虽然是混淆过的，但基本还是有可读性。

包名是一个浏览器的包名（假装自己是个浏览器），这里有这个apk接入的cookies服务器地址。或许从这个服务器能找到恶意软件作者的相关信息？还接入了友盟来对用户进行统计。这个叫“公共模块”的包里集成了很多函数，甚至还有获取好友自动加好友分析可以发现很多的代码被bi.b这个方法赋值了
。
但应该是一个向用户请求读写sd卡的权限的语句相对详细的代码就是自动加群的代码。
还有app主要窗口的代码，主要的代码分析都在这里进行分析。


不知道是不是混淆方法搞不定中文，易安卓做的app反编译后尽管混淆了，可读性还是可以。中文的类库和一些函数名并不能被混淆。
四：加群协议分析

f176qq是本次操作qq,f158qq是一个qq数组f185url是加好友urlf177是本次qq群，f180是一个qq群数组

获取到了一个浏览器参数，我认为这里这个浏览器参数应该是调用qq登录时的url.

因为在这里对这个“浏览器参数”进行了提取，其中就有keyindex,clientuin,然后再用一个cookies服务器地址传上去参数url_ret取得返回的网页源码。获得qq空间cookies，token.。
这里了通过一个llk1.m248的方式截取了cookies。可以看出这是典型的cookies欺骗攻击方式，虽然cookies不会暴露明文密码信息，但是只要截获到cookies向服务器提交一系列请求就能实现对qq账号行为的控制。

可以看到恶意软件作者在好友加群等操作大量的运用了在上面方式得到的cookies，通过cookies实现了加群，提取群等操作，但由于代码混淆，并不能再深入的了解截获的原理和运用的具体原理。
五：总结
1可以看出有些恶意软件虽然安装得到时候也不会报有害软件，但是如果调用登录的接口，截取cookies则会使用你的qq号做别的事，所以没事不要下载来路不明的apk.
2 cookies存储用户的信息还是有安全问题，cookies欺骗的攻击方式没有得到有效防护，应该得到重视。
3 被一些加固插件加固过的apk可以尝试用dumpDex-Android等直接获取dex文件，并用jadx读取源码。

apk样本在这里，断网或者登录qq小号调试：链接：https://pan.baidu.com/s/1zRIKUXOIjjNw7yc7bYfl0A 提取码：55ax

莜琴丶AOA

巧了   前几天我就用过这个软件   还好多了个心眼用小号登陆的     目前就知道会拉那个人进所有能进的群   潜伏几天后就发广告      目前小号空间正常  账号也正常   

夏雨微凉

TIS有趣的灵魂 发表于 2019-5-24 17:15
感谢楼主分享！
另外楼主可以把dumpDex编译的成品分享一下吗，as编译失败

我也还没编译成功，GitHub上只写了个AndroidStudio3，并没有写别的要求，我怀疑是Gradle版本问题，而且这个东西好像只能在源代码写上要脱的包名再编译才可以吧？没有通用性，还是得自己编译出来

超正义的小煌

登录你QQ后就在你的QQ群乱发广告，同时应该可能也在QQ空间 、QQ说说和QQ邮箱转发各种广告。

tounawang

现在习惯用TIM，不知会不会对TIM也同样有效呢？

青青子衿骨

先收藏学习，感谢分享

hdyl

先收藏学习，感谢分享,好好学

xiix112

牛6666666

有图有真相

这个软件确实遇到了，恶意传播

N95

看封面是那種類型的app，就怕很多人性起而不在意危害

夏雨微凉

能不能发一下样本？

stars-one

脱壳都懂，问题是怎么修复啊！！
原来是分析啊，打扰了~