android qq群加群代码 逆向分析某QQ恶意自动邀请加群APK

本帖最后由 boomsoap 于 -5-23 18:48 编辑

一：基本原理

APK通过调用了qq登陆并实现了使用者的QQ群的读取,让使用者自动的邀请指定的QQ号，而指定QQ号再进行群发消息传播有害信息和诱导apk下载。

1.jpg (32.48 KB, 下载次数: 1)

-5-22 17:26 上传

进入apk只有一个背景页面(这背景页面像极了快手)和提示框，点击取消再次弹出提示框，点击立即登陆则会调用qq，调用以后会以你的名义在你的常用qq群中拉人。

二：Android killer 反编译

2.png (24.86 KB, 下载次数: 1)

-5-22 17:27 上传

这款apk找不到StartActivity的入口，不能直接从入口读取到smail反编译后含有大量的so,so的名字为jiagu.so。而smail文件中的qihoo360说明了该应用使用了360加固。

三：脱壳qihoo360加固

这次使用现成的Xposed脱壳模块来进行脱壳。dumpDex-Android脱壳Xposed模块来进行脱壳。

模块源码地址：/WrBug/dumpDex。安装模块后重启，安装apk后直接在data/data/包名下生成了dump文件夹Dump文件夹中是使用xposed模块以后得到反编译后的dex文件

3.png (27.7 KB, 下载次数: 1)

-5-22 17:27 上传

这么多的dex文件中只有一个是相应的源码，一个一个的试，看谁的内容比较像。一般大小和apk差不多的有很大可能是。

三：jadx源码分析

通过jadx直接打开dex文件就得到了源码

4.png (110.62 KB, 下载次数: 2)

-5-22 17:27 上传

虽然左边包名不能显示中文，但是源码中有很多中文，而e4a.runtime这个包也告诉我们这个apk是用易语言写的。虽然是混淆过的，但基本还是有可读性。

5.png (69.8 KB, 下载次数: 2)

-5-22 17:27 上传

包名是一个浏览器的包名(假装自己是个浏览器)，这里有这个apk接入的cookies服务器地址。或许从这个服务器能找到恶意软件作者的相关信息？还接入了友盟来对用户进行统计。这个叫“公共模块”的包里集成了很多函数，甚至还有获取好友自动加好友分析可以发现很多的代码被bi.b这个方法赋值了

。

6.png (28.79 KB, 下载次数: 2)

-5-22 17:27 上传

但应该是一个向用户请求读写sd卡的权限的语句相对详细的代码就是自动加群的代码。

7.png (125.27 KB, 下载次数: 1)

-5-22 17:27 上传

还有app主要窗口的代码，主要的代码分析都在这里进行分析。

8.png (45.39 KB, 下载次数: 2)

-5-22 17:27 上传

不知道是不是混淆方法搞不定中文，易安卓做的app反编译后尽管混淆了，可读性还是可以。中文的类库和一些函数名并不能被混淆。

四：加群协议分析

9.png (44.28 KB, 下载次数: 2)

-5-22 17:27 上传

f176qq是本次操作qq,f158qq是一个qq数组f185url是加好友urlf177是本次qq群，f180是一个qq群数组

10.png (19.97 KB, 下载次数: 0)

-5-22 17:27 上传

获取到了一个浏览器参数，我认为这里这个浏览器参数应该是调用qq登录时的url.

11.png (41.68 KB, 下载次数: 1)

-5-22 17:27 上传

因为在这里对这个“浏览器参数”进行了提取，其中就有keyindex,clientuin,然后再用一个cookies服务器地址传上去参数url_ret取得返回的网页源码。获得qq空间cookies，token.。

12.png (33.77 KB, 下载次数: 0)

-5-22 17:27 上传

这里了通过一个llk1.m248的方式截取了cookies。可以看出这是典型的cookies欺骗攻击方式，虽然cookies不会暴露明文密码信息，但是只要截获到cookies向服务器提交一系列请求就能实现对qq账号行为的控制。

13.png (44.73 KB, 下载次数: 1)

-5-22 17:27 上传

可以看到恶意软件作者在好友加群等操作大量的运用了在上面方式得到的cookies，通过cookies实现了加群，提取群等操作，但由于代码混淆，并不能再深入的了解截获的原理和运用的具体原理。

五：总结

1可以看出有些恶意软件虽然安装得到时候也不会报有害软件，但是如果调用登录的接口，截取cookies则会使用你的qq号做别的事，所以没事不要下载来路不明的apk.

2 cookies存储用户的信息还是有安全问题，cookies欺骗的攻击方式没有得到有效防护，应该得到重视。

3被一些加固插件加固过的apk可以尝试用dumpDex-Android等直接获取dex文件，并用jadx读取源码。

apk样本在这里，断网或者登录qq小号调试：链接：/s/1zRIKUXOIjjNw7yc7bYfl0A提取码：55ax