怎么对恶意Android应用Bangle Android App Packer的分析

发布时间:2021-12-24 11:13:21 作者:柒染
来源:亿速云 阅读:150

怎么对恶意Android应用Bangle Android App Packer的分析,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

写在前面的话

Trustlook Labs发现了一个恶意安卓应用程序,它使用社会工程手法诱骗用户安装。这个应用程序(MD5:eb9d394c1277372f01e36168a8587016)使用Bangle packer打包。

触发该安装应用程序的主要活动为“com.goplaycn.googleinstall.activity.SplashActivity.”但是,神奇的是在反编译代码中的任何位置都找不到该行为:怎么对恶意Android应用Bangle Android App Packer的分析

接下来就跟这我们一起来研究研究吧!

审计代码

我们从类SecAppWrapper开始审计,其中有一个“System.loadLibrary”调用load to load”secShell.“模块中的本机层代码,他主要负责从“assets\secData0.jar”中解密和加载应用程序的主要负载,并经过解密的压缩DEX文件。怎么对恶意Android应用Bangle Android App Packer的分析怎么对恶意Android应用Bangle Android App Packer的分析

其中我们发现“secShell”模块中的大多数方法名称都经过混淆,并且在使用时会对其字符串进行解密。怎么对恶意Android应用Bangle Android App Packer的分析

该应用程序会检测手机中是否安装了框架,如Xposed。Xposed是一个用于在运行时操纵Android应用程序流的框架。怎么对恶意Android应用Bangle Android App Packer的分析

怎么对恶意Android应用Bangle Android App Packer的分析

该应用程序还会分离子进程并调用“ptrace”来附加到父进程,以防止调试器进行任何附加尝试。多个进程相互跟踪以确保子进程存活

怎么对恶意Android应用Bangle Android App Packer的分析怎么对恶意Android应用Bangle Android App Packer的分析怎么对恶意Android应用Bangle Android App Packer的分析

该应用程序并且会监视/proc文件系统中的值以检查进程的状态。怎么对恶意Android应用Bangle Android App Packer的分析

要说得一点是“secShell”模块中的JNI_OnLoad函数具有两个分支。一个分支负责反调试,另一个分支(位于下面的0x7543EAE4)将主要的DEX模块进行解密。
怎么对恶意Android应用Bangle Android App Packer的分析

以下是解密函数:

怎么对恶意Android应用Bangle Android App Packer的分析怎么对恶意Android应用Bangle Android App Packer的分析

在绕过反调试后,功能为“p34D946B85C4E13BE6E95110517F61C41”的模块将解密数据。其中寄存器R0包含文件位置,由标题字节“PK\x03\x04”标识.R1存储文件的大小。怎么对恶意Android应用Bangle Android App Packer的分析怎么对恶意Android应用Bangle Android App Packer的分析我们可以转储内存:怎么对恶意Android应用Bangle Android App Packer的分析

解压缩文件后,我们得到可以正常查看的DEX文件:

怎么对恶意Android应用Bangle Android App Packer的分析

Android packers是保护合法移动应用开发者知识产权的有价值的工具。然而,它们也可以用于恶意目的,并使分析恶意应用程序更加困难。Trustlook Labs继续致力于识别恶意应用程序以保护我们的客户和移动生态系统。

关于怎么对恶意Android应用Bangle Android App Packer的分析问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注亿速云行业资讯频道了解更多相关知识。

推荐阅读:
  1. Android应用中对webp格式图片的处理
  2. android应用的单元测试

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

android bangle android app packer

上一篇:Kubernetes 1.2中如何使用ConfigMap

下一篇:linux中如何删除用户组

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》