1. Внимание!!! Не заходит на форум? Хотите сохранить доступность к нам на 99.9%? Обязательно запишите все зеркала проекта! Именно по этому мы настоятельно рекомендуем использовать онион домен для TOR-Браузера, там доступность форума будет максимальной. Ссылка для установки и все зеркала в этой темe.

    Зеркало для TOR-Браузера - http://norabizt5qqxefxy.onion

    Чистое зеркало для обычных браузеров - https://nora.holiday

    Скрыть объявление

Реверсинг бота ANDROID.apk

Тема в разделе "ВИРУСОЛОГИЯ", создана пользователем Mr.ROBOT, 9 июн 2017.

  1. Mr.ROBOT
    off

    Mr.ROBOT include(Happy) VIP МАГАЗИНЫ

    Сообщения:
    125
    Пол:
    Мужской
    Репутация:
    65
    Сфера:
    Хакинг
    Реверсинг бота ANDROID.apk
    Ас-саляму алейкум всему криминальному миру! Сегодня темой моего разговора станем реверсинг андройд бота, мы разберем пару конкретных apk файлов и постараемся раскрыть сущность одного из недобросовестных продавцов с нашего форума. В статье мы научимся распаковывать любой apk, модифицировать, переводить dalvik в байт-код jvm для анализа/изменений и главное отвязывать бота на наш сервер.

    Анализ ботов

    И так, на столе у меня два андройд бота, один паблик, другой якобы приват написанный и разработанный с нуля. Самый быстрой и простой способ опередить сходство, это добавить расширение rar в название нашего апк, что бы получилось ANDROIN.apk.rar. По сути APK это обычный архив с набором ресурсов, библиотек и т.д Если быть точным, то это формат архивных исполняемых файлов-приложений для Android.

    Архитектура apk файла:

    • META-INF/ — содержит цифровой сертификат приложения, удостоверяющий его создателя, и контрольные суммы файлов пакета;
    • res/ — различные ресурсы, которые приложение использует в своей работе, например изображения, декларативное описание интерфейса, а также другие данные;
    • AndroidManifest.xml — описание приложения. Сюда входит, например, список требуемых разрешений, требуемая версия Android и необходимое разрешение экрана;
    • classes.dex — компилированный байт-код приложения для виртуальной машины Dalvik;
    • resources.arsc — тоже ресурсы, но другого рода — в частности, строки (да-да, этот файл можно использовать для русификации!)
    • assets — аналог ресурсов. Основное отличие — для доступа к ресурсу необходимо знать его идентификатор, список asset’ов же можно получать динамически, используя метод AssetManager.list() в коде приложения;
    • lib — нативные Linux-библиотеки, написанные с помощью NDK (Native Development Kit).

    Давайте посмотрим ресурсы наших двух ботов:

    1_0.jpg

    Есть посмотреть картинки, то они идентичные, особенно в глаза бросается файл dojkj.jpg. Вариаций этого бота куча, под какими только названиями его не продают, но я называю его "телочка с сиськами", именно по это картинке. Если пробежаться по ресурсам и файлам с помощью notepad, то и без декомпилятора можно понять, что есть явные сходства.

    Декомпиляция apk приложения:

    Для начало нужно декомпилировать код dex в Java-код, для этого можно использовать dex2jar - это транслятор байт-кода Dalvik в байт-код JVM, на основе которого мы сможем получить код на языке Java.

    Посмотреть инструкцию и скачать можно по ссылке https://sourceforge.net/p/dex2jar/wiki/UserGuide/

    Скачиваем приложение к себе на фтп, с официального сайта забрать на прямую не дает.
    Код:
    wget http://domain.com/dex2jar-2.0.zip
    Распаковываем.
    Код:
    unzip -x dex2jar-2.0.zip -d /root
    Ставим права для нормальной работы.
    Код:
    chmod 777 /root/dex2jar-2.0/d2j-dex2jar.sh
    Код:
    chmod 777 /root/dex2jar-2.0/d2j_invoke.sh
    Запускаем указывая точный путь до файла.
    Код:
    sh /root/dex2jar-2.0/d2j-dex2jar.sh /root/app-release.apk
    Код:
    sh /root/dex2jar-2.0/d2j-dex2jar.sh /root/ANDROID.apk
    1_2.jpg

    Как видим в директории откуда мы запускали скрипт появилось два jar файла.
    ANDROID-dex2jar.jar - наш бот.
    app-release-dex2jar.jar - якобы приват из этой темы.

    Теперь мы можем их изучать с помощью программы Java Decompiler.
    Официальный сайт программы - http://jd.benow.ca/
    Требует установки https://www.java.com/ru/download/

    1_3.jpg

    Как оказалось наш пациент обычный переписанный паблик.

    Модификация для замены урла:

    Для модификации апк приложений нам понадобится очень простая утилита apktool, дайте попробуем ее поставить и протестировать на примере. Допустим наша задача заключается в изменения сервера куда стучит бот.

    Для начало поставим JAVA на наш сервер.
    Код:
    apt-get update
    apt-get install default-jre
    java -version
    
    Скачиваем оба файла и размещаем их в /usr/local/bin/, меняем имя apktool_2.2.2.jar на apktool.jar
    Код:
    wget https://bitbucket.org/iBotPeaches/apktool/downloads/apktool_2.2.2.jar
    wget https://raw.githubusercontent.com/iBotPeaches/Apktool/master/scripts/linux/apktool
    
    Ставим права.
    Код:
    chmod +x apktool.jar
    chmod +x apktool
    
    Посмотрим!
    Код:
    apktool
    
    Попробуем распоковать app-release.apk
    Код:
    apktool d app-release.apk
    
    Если все прошло успешно, то в директории появится папка app-release.

    1_1.jpg

    Отлично, все на месте! Давайте попробуем отвязать бота на наш сервер, бежим в Constants.smali

    1_3.jpg

    Меняем адрес сервера и далее собираем пакет обратно.

    Код:
    apktool b app-release
    Если все прошло успешно, то в дире app-release/build появится наш модифицированный APK. Естественно он не заработает, так как там нет цифровой подписи и контрольных сумм файлов. У нас просто отсутствует META-INF, но это решаемо! Есть такая тузла apk-signer, но она работает в комплекте с Android SDK который нужно установить.

    Есть версии как под windows, так и под linux.

    Просто что бы ты знал...
    Примечание. Сохраните информацию, используемую для создания файла! Особенно псевдоним и два пароля! Также сохраните файл хранилища ключей и сделайте резервные копии его!

    [​IMG]

    (1) - Найдите путь установки Java JDK 1.6 (Java / bin / ...)
    (2) - Обновите информацию для файла хранилища ключей (сохраните свой пароль, вы будете нуждаться в нем каждый раз, когда хотите подписать приложение!)
    (3) - Нажмите «Сохранить как ...» и сохраните путь, который вы хотите создать файл хранилища ключей

    [​IMG]

    (4) - Нажмите «Создать ключевой файл»

    Если вы добавили всю информацию, и генерация прошла успешно, вы получите это уведомление.

    [​IMG]

    Подпишите свое приложение
    Здесь вы найдете простое видео, демонстрирующее следующие шаги.

    Перейдите на вкладку «Signer» и убедитесь, что установлен путь к вашей установке JDK 1.6.

    [​IMG]

    (1) - Загрузите свой ключевой файл и введите два пароля (Подсказка: если вы введете «Пароль», нажмите клавишу табулятора. Если пароль был прав, Псевдоним будет установлен автоматически)

    [​IMG]

    (2) - Загрузите приложение, которое вы хотите подписать (убедитесь, что вы сняли флажок «Подписать» на Intel XDK, в противном случае apk уже отлажен)

    [​IMG]

    Нажмите «знак», чтобы подписать приложение. Вы получите файл с именем «... SINGED_UNALIGNED.apk»

    Совместить приложение
    Теперь перейдите на вкладку «APK Alignment» и загрузите apk, который вы получили после подписания.

    [​IMG]

    [​IMG]

    Нажмите «align», и вы получите файл с именем «... SIGNED_ALIGNED.apk». Этот файл готов к загрузке в Google Play Store.

    На этом сегодня все!


    Авто: Mr.ROBOT
     
    Последнее редактирование: 9 июн 2017
  2. fobus
    off

    fobus Активно в Норе УЧАСТНИКИ

    Сообщения:
    52
    Пол:
    Мужской
    Адрес:
    null
    Репутация:
    8
    Сфера:
    Cпам
    Подскажите пожалуйста по склейки apk.
    Я так понял можно все это дело запихать с одну кучу, объединить в AndroidManifest.xml и собрать с помощью apktool.
    У кого есть опыт?
     
  3. zir0diy
    off

    zir0diy n.N.N.n.n УЧАСТНИКИ

    Сообщения:
    175
    Пол:
    Мужской
    Адрес:
    error
    Репутация:
    34
    Сфера:
    Вирусология
  4. Dr.Psix
    off

    Dr.Psix Белый билет СПЕЦИАЛИСТ

    Сообщения:
    53
    Пол:
    Мужской
    Адрес:
    ?id='
    Репутация:
    15
    Сфера:
    Хакинг
    Тут стоит Flexnet http://macsevi9.beget.tech/help/
    Если не ошибаюсь он назывался по другому и его поддерживали ребята которых закрыли, по новостям было, помню еще цифру 50 000 000 рублей типа они сделали ущерба.
     
  5. hooligans
    off

    hooligans Активно в Норе УЧАСТНИКИ

    Сообщения:
    73
    Адрес:
    sochi
    Репутация:
    2
    Сфера:
    Дизайнер
    xorowo opisano .
     
  6. doctor
    off

    doctor zlo...... УЧАСТНИКИ

    Сообщения:
    56
    Пол:
    Женский
    Адрес:
    TOR
    Репутация:
    7
    Сфера:
    Хакинг
    Есть у кого apk платных или приватных версий ботнета?