恶意Android软件分析 仿冒GG修改器的锁机软件

今天有看到一款锁机软件,简单看了下,和之前分析的差不太多。

恶意Android软件分析 仿冒GG修改器的锁机软件_第1张图片

样本分析

通过对比,可以轻易发现除了正常的catch_.me1.if_.you_.can_应用外,额外安装一个包名为“com.tyh.app”的应用。

恶意Android软件分析 仿冒GG修改器的锁机软件_第2张图片

通过adb命令,可以看到往系统目录植入了一个Android.apk的应用。

bogon:~ johnhao$ adb shell pm path com.tyh.app
package:/system/priv-app/Android.apk

简单看一apk信息,还伪装成了SIM卡应用。

恶意Android软件分析 仿冒GG修改器的锁机软件_第3张图片

名字太长了,用脚本或者人工处理一下。

恶意Android软件分析 仿冒GG修改器的锁机软件_第4张图片

处理之后即可食用了,代码逻辑清晰、简单。

恶意Android软件分析 仿冒GG修改器的锁机软件_第5张图片

代码分析

接下来是分析过程,该锁机一共有4层,第一层和第四层解法一样,第二层和第三层解法一样。

第一层:
中奖号码:946805632145 +(三位的随机整数)

第二层:
中奖号码:86523587580 +(三位的随机整数)

第三层:
中奖号码:36850664453 +(三位的随机整数)

第四层:
中奖号码:5866525853 +(三位的随机整数)

解法主要是利用每层的随机3位整数进行“计算”

第一层和第四层解法

直接了当的调用了一个字符的转换类,将随机的整数转换为字符转。

恶意Android软件分析 仿冒GG修改器的锁机软件_第6张图片

例如随机值是819,那么解锁密码就是CZGJN

第二层和第三层解法

作者给了一个固定的md5值,反推出来能得到数字 -> 944。
所以第二和第三层解锁密码是:944 + 随机整数的md5值的去字母的数字串

例如:随机数是672
那么随机整数的md5值的去字母的数字串 = 261456400115421334
解锁密码 = 944261456400115421334

恶意Android软件分析 仿冒GG修改器的锁机软件_第7张图片

删除软件

通过adb命令,直接移除该锁机软件即可。同时删除原仿冒软件,重启即可。

$ adb shell rm /system/priv-app/Android.apk

你可能感兴趣的:(恶意Android软件分析 仿冒GG修改器的锁机软件)