对一网诈app的样本分析

sandalwood

​

前言
最近刚学习android开发和Frida基础，实践出真知，就找师兄要了一个不正规的APK样本来分析实践。因为网站下线，可分析的点没有很多，到我手里的时候也没有加壳，所以正好适合新手，希望大佬勿喷。

正文
拿到样本的第一件事先放到夜深模拟器安装，发现目标网站已经下线了，看来是一个已经被“拿下的目标”。放到奇安信的文件分析平台上分析一波，出结果需要点时间，先自己分析一下，伪装成了一个官方app.

​

​

​

拿到之后先用apktool解压，然后再去各个目录看一下。
​

​

​

​
先来看一下这个文件的权限信息和入口。

​

可以得到如下信息权限还是挺多的)

1. <p>android.permission.INTERNET //允许程序打开网络套接字</p>
   
2. 
   
3. <p>android.permission.WRITE_EXTERNAL_STORAGE //读写SD卡的权限</p>
   
4. 
   
5. <p>android.permission.ACCESS_NETWORK_STATE //获取网络信息状态</p>
   
6. 
   
7. <p>android.permission.ACCESS_WIFI_STATE  //获取wifi状态</p>
   
8. 
   
9. <p>android.permission.REQUEST_INSTALL_PACKAGES //允许安装未知来源权限</p>
   
10. 
    
11. <p>android.permission.READ_EXTERNAL_STORAGE //读取存储卡权限</p>
    
12. 
    
13. <p>com.asus.msa.SupplementaryDID.ACCESS //获取厂商oaid相关权限</p>
    
14. 
    
15. <p>
    
16. 
    
17. </p><p>并且得入口是HuanyinActivity。</p>

复制代码

这里可以看到存放着刚才模拟器打开时的图标。

​

这里放着apk签名相关的文件。

​

这个目录暴露出了外联的网站信息。

​

接下来再用android killer对这个apk进行反编译查看java源码。
​

​

可以看到进去入口之后，会再启动MainActivity.

​

这里就验证了刚才的json文件果然是存放着外联的信息，利用getJson函数读取信息，然后再用webViewBox与网站进行连接
1

​

剩下的就是一些视图了。

这里再去看一下奇安信在线平台的分析结果，结果还是挺全面的。

​

​

​