记一次逆向分析某诈骗APP的网络行为和加解密

fengyutongzhou · 发表于 2024-4-22 16:18

今天是第一次在吾爱破解分享技术贴，最开始是在bi站看到了正己大佬发布的教学视频，后来进论坛也是抱着学习态度来的。现在对安卓逆向有了进一步理解。刚好今天拿到一个诈骗APP，进行了网络分析。我把这次分析记录下来。第一次写帖子案例比较简单，大佬勿喷。写的比较细，也有很啰嗦的地方，主要还是想把自己思路写出来。也欢迎大佬给提意见。环境：夜神模拟器android9+charles。已通过ADB导入证书到根目录。

0x01

先用charles抓一下包看到有请求地址池的行为。初步判断APP是把自己的服务分发到大量的地址池里，之后通过请求一些节点，来获取地址池。这种方式从安全考虑可以抗ddos攻击，从恶意软件角度来看就是为了躲避拦截。那么如果想要拦截这个恶意软件需要从他们的节点进行拦截。

0x02

JADX反编译APP，搜索抓包中发现的节点地址，运气还不错，源代码里没有混淆，之前遇到的APP源代码里都把一些URL加密混淆，导致难以定位，目前来看这APP是个软柿子，可以捏。

0x03

来到调用URL的方法，这里看到他做了判断，根据不同情况，分别调用m1458f0和m1457g0方法。就是把aliyuncs.com的域名和非aliyuncs.com分别处理，这里说明一下aliyuncs.com的域名的完整URL是用的阿里云OSS存储服务，把地址池存储到阿里云服务器，之后去阿里云获取地址池来加载到应用里进行一些接口的连接。当时看到这里时还不知道aliyuncs.com的作用是什么因为响应报文被加密了，直到后面经过解密后才知道。继续往下走。

0x04

m1458f0调用了m1446r0方法传入了aliyuncs.com的url。m1446r0方法里看到，对aliyuncs.com的域名发起了请求并且把密钥和响应内容传到m2014a方法里。

0x05

来到m2014a是一段解密方法。在解密的时候遇到一点小问题，主要是IvParameterSpec初始化操作有点蒙，没搞懂他是用的ECB模式还是CBC模式，后来问了一下某位大佬，大佬告诉我是ECB模式没有IV值，直接按顺序解密就行。

0x06

这里用chatGPT写了一个脚本（非常好用），也是因为没有找到可以做预处理base64解密的工具。之后在charles抓包里找到请求aliyuncs.com的响应包，把密钥和密文复制粘贴进脚本里解密。

0x07

解密出来也是一堆url。这里可以确定了aliyuncs.com域名也是用来获取地址池的。

0x08

非aliyuncs.com域名传到m1457g0里，调用了m1444t0方法传入了url。

0x09

这里没有加解密过程，所以在最开始抓包里可以直接看到明文。

0x0a

在charles里还发现了另外一个URL，他在c1123类里，这个URL的使用方法和上面提到的一样，也是获取地址池作用。后来经过分析发现这个地址池是给一个图片上传接口提供的，好了本次分析结束。

fengyutongzhou · 发表于 2024-4-23 09:55

w220913 发表于 2024-4-22 18:37
想问下楼主你看完正已大佬的视频就能做到逆向分析的吗？感觉你有java的基础呢

看完正己大佬的视频就明白了安卓平台运行应用的大致原理，最起码知道如何反编译如何从代码里下手啊，java方面我肯定是懂一点，但不是很专业，看不懂的地方就问chatgpt，慢慢捯逻辑被。

fengyutongzhou · 发表于 2024-4-22 16:45

Hmily 发表于 2024-4-22 16:40
我帮你编辑换了一下行，但是还有2个问题，其中：
1、0x02 和0x0a 好像各丢了一个图？
2、文章底部好像 ...

链接：https://pan.baidu.com/s/1IJBwzgazjZ5677yP4JcV1A?pwd=b35b
提取码：b35b
这是0x02的图
0x0a是两张图片在一个小题里，把最后一句话和最后一张图片换个位置就可以了。

fengyutongzhou · 发表于 2024-4-22 16:21

管理先别给我过审了，格式有点问题我重新写重新调一下

Hmily · 发表于 2024-4-22 16:40

fengyutongzhou 发表于 2024-4-22 16:21
管理先别给我过审了，格式有点问题我重新写重新调一下

我帮你编辑换了一下行，但是还有2个问题，其中：
1、0x02 和0x0a 好像各丢了一个图？
2、文章底部好像有个图没插入到正文中，是不是正好是上面的？

其他的你再检查以下编辑修改即可。

Hmily · 发表于 2024-4-22 16:49

fengyutongzhou 发表于 2024-4-22 16:45
链接：https://pan.baidu.com/s/1IJBwzgazjZ5677yP4JcV1A?pwd=b35b
提取码：b35b
这是0x02的图

编辑了看一下，下次可以自己编辑修改。

yunchu · 发表于 2024-4-22 17:32

有点意思

kangyuhang · 发表于 2024-4-22 18:15

6啊，学习

w220913 · 发表于 2024-4-22 18:37

想问下楼主你看完正已大佬的视频就能做到逆向分析的吗？感觉你有java的基础呢

yinsel · 发表于 2024-4-22 19:55

感谢分享，支持，楼主也是研究诈骗app吗

winddu · 发表于 2024-4-22 19:59

比较喜欢看技术分享，谢谢加支持楼主

帐号		自动登录	找回密码
密码			注册[Register]

[移动样本分析] 记一次逆向分析某诈骗APP的网络行为和加解密

免费评分

点评

点评

个人中心