本帖最后由 boomsoap 于 2019-5-23 18:48 編輯

一：基本原理

APK通過調(diào)用了qq登陸并實現(xiàn)了使用者的QQ群的讀取,讓使用者自動的邀請指定的QQ號，而指定QQ號再進行群發(fā)消息傳播有害信息和誘導apk下載。

1.jpg (32.48 KB, 下載次數(shù): 1)

2019-5-22 17:26 上傳

進入apk只有一個背景頁面(這背景頁面像極了快手)和提示框，點擊取消再次彈出提示框，點擊立即登陸則會調(diào)用qq，調(diào)用以后會以你的名義在你的常用qq群中拉人。

二：Android killer 反編譯

2.png (24.86 KB, 下載次數(shù): 1)

2019-5-22 17:27 上傳

這款apk找不到StartActivity的入口，不能直接從入口讀取到smail反編譯后含有大量的so,so的名字為jiagu.so。而smail文件中的qihoo360說明了該應用使用了360加固。

三：脫殼qihoo360加固

這次使用現(xiàn)成的Xposed脫殼模塊來進行脫殼。dumpDex-Android脫殼Xposed模塊來進行脫殼。

模塊源碼地址：https://github.com/WrBug/dumpDex。安裝模塊后重啟，安裝apk后直接在data/data/包名下生成了dump文件夾Dump文件夾中是使用xposed模塊以后得到反編譯后的dex文件

3.png (27.7 KB, 下載次數(shù): 1)

2019-5-22 17:27 上傳

這么多的dex文件中只有一個是相應的源碼，一個一個的試，看誰的內(nèi)容比較像。一般大小和apk差不多的有很大可能是。

三：jadx源碼分析

通過jadx直接打開dex文件就得到了源碼

4.png (110.62 KB, 下載次數(shù): 2)

2019-5-22 17:27 上傳

雖然左邊包名不能顯示中文，但是源碼中有很多中文，而e4a.runtime這個包也告訴我們這個apk是用易語言寫的。雖然是混淆過的，但基本還是有可讀性。

5.png (69.8 KB, 下載次數(shù): 2)

2019-5-22 17:27 上傳

包名是一個瀏覽器的包名(假裝自己是個瀏覽器)，這里有這個apk接入的cookies服務器地址。或許從這個服務器能找到惡意軟件作者的相關信息？還接入了友盟來對用戶進行統(tǒng)計。這個叫“公共模塊”的包里集成了很多函數(shù)，甚至還有獲取好友自動加好友分析可以發(fā)現(xiàn)很多的代碼被bi.b這個方法賦值了

。

6.png (28.79 KB, 下載次數(shù): 2)

2019-5-22 17:27 上傳

但應該是一個向用戶請求讀寫sd卡的權(quán)限的語句相對詳細的代碼就是自動加群的代碼。

7.png (125.27 KB, 下載次數(shù): 1)

2019-5-22 17:27 上傳

還有app主要窗口的代碼，主要的代碼分析都在這里進行分析。

8.png (45.39 KB, 下載次數(shù): 2)

2019-5-22 17:27 上傳

不知道是不是混淆方法搞不定中文，易安卓做的app反編譯后盡管混淆了，可讀性還是可以。中文的類庫和一些函數(shù)名并不能被混淆。

四：加群協(xié)議分析

9.png (44.28 KB, 下載次數(shù): 2)

2019-5-22 17:27 上傳

f176qq是本次操作qq,f158qq是一個qq數(shù)組f185url是加好友urlf177是本次qq群，f180是一個qq群數(shù)組

10.png (19.97 KB, 下載次數(shù): 0)

2019-5-22 17:27 上傳

獲取到了一個瀏覽器參數(shù)，我認為這里這個瀏覽器參數(shù)應該是調(diào)用qq登錄時的url.

11.png (41.68 KB, 下載次數(shù): 1)

2019-5-22 17:27 上傳

因為在這里對這個“瀏覽器參數(shù)”進行了提取，其中就有keyindex,clientuin,然后再用一個cookies服務器地址傳上去參數(shù)url_ret取得返回的網(wǎng)頁源碼。獲得qq空間cookies，token.。

12.png (33.77 KB, 下載次數(shù): 0)

2019-5-22 17:27 上傳

這里了通過一個llk1.m248的方式截取了cookies。可以看出這是典型的cookies欺騙攻擊方式，雖然cookies不會暴露明文密碼信息，但是只要截獲到cookies向服務器提交一系列請求就能實現(xiàn)對qq賬號行為的控制。

13.png (44.73 KB, 下載次數(shù): 1)

2019-5-22 17:27 上傳

可以看到惡意軟件作者在好友加群等操作大量的運用了在上面方式得到的cookies，通過cookies實現(xiàn)了加群，提取群等操作，但由于代碼混淆，并不能再深入的了解截獲的原理和運用的具體原理。

五：總結(jié)

1可以看出有些惡意軟件雖然安裝得到時候也不會報有害軟件，但是如果調(diào)用登錄的接口，截取cookies則會使用你的qq號做別的事，所以沒事不要下載來路不明的apk.

2 cookies存儲用戶的信息還是有安全問題，cookies欺騙的攻擊方式?jīng)]有得到有效防護，應該得到重視。

3被一些加固插件加固過的apk可以嘗試用dumpDex-Android等直接獲取dex文件，并用jadx讀取源碼。

apk樣本在這里，斷網(wǎng)或者登錄qq小號調(diào)試：鏈接：https://pan.baidu.com/s/1zRIKUXOIjjNw7yc7bYfl0A提取碼：55ax

總結(jié)

以上是生活随笔為你收集整理的android qq群加群代码,逆向分析某QQ恶意自动邀请加群APK的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。