分类目录归档:Android

[转]Android VPN 实现原理介绍

本文节选自 Nikolay Elenkov 所著《Android 安全架构深究》(译者为刘惠明、刘跃)一书中的“VPN 支持”。介绍了 Android 系统所支持的几种 VPN 安全协议、系统内置 …

发表在 Android | 标签为 , | [转]Android VPN 实现原理介绍已关闭评论

【转】【漏洞预警】蓝牙协议漏洞:BlueBorne攻击影响数十亿蓝牙设备

简介


Armis Labs披露了一个攻击向量,使得搭载主流移动,桌面,IoT操作系统包括Android, iOS, Windows, Linux系统的设备均受其影响。

它通过空气(airborne)即可传播,然后通过蓝牙(Bluetooth)协议发起攻击。BlueBorne由此得名。

参考:https://www.armis.com/blueborne/

发表在 Android, iOS, Linux, Windows, 未分类, 漏洞攻击 | 【转】【漏洞预警】蓝牙协议漏洞:BlueBorne攻击影响数十亿蓝牙设备已关闭评论

谷歌发现了一个潜伏了三年的Android间谍程序【转】

近期,Google和Lookout的安全研究专家发现了一款非常复杂的Android间谍软件,它不仅可以从手机的聊天软件中窃取用户的隐私数据,还可以通过手机的摄像头和麦克风来监视用户的一举一动。更重要的是,它还可以进行自毁操作,而正是由于这款间谍软件拥有非常智能的自毁机制,因此它在三年之后的今天才被研究人员发现。

这款间谍软件名叫Chrysaor,攻击者此前曾使用这款Android间谍软件攻击以色列、格鲁吉亚、土耳其和墨西哥等国的活跃分子以及新闻记者。据称,这个间谍软件很可能是由以色列间谍公司NSO Group集团制作的,也就是去年利用iOS恶意软件Pegasus来攻击阿联酋人权活动家的那家公司。

外界广泛认为,NSO Group可以制作出地球上最先进的移动端间谍软件,而且他们会将这些产品出售给他国政府、执法机构以及独裁政权。

Chrysaor分析

这款名叫Chrysaor的Android间谍软件具备以下几种功能:

1.    从目前热门的App中窃取数据,受影响的应用包括Gmail、WhatsApp、Skype、Facebook、Twitter、Viber以及Kakao等。

2.    

发表在 Android, 未分类 | 谷歌发现了一个潜伏了三年的Android间谍程序【转】已关闭评论

三六零 so加壳 动态脱法

环境及工具
手机    :  中兴 U887
系统版本:    Android 2.3.5
工具    :    …

发表在 Android, 逆向分析 | 标签为 , | 三六零 so加壳 动态脱法已关闭评论

手把手教你逆向分析 Android 程序【转】

很多人写文章,喜欢把什么行业现状啊,研究现状啊什么的写了一大通,感觉好像在写毕业论文似的,我这不废话,先直接上几个图,感受一下。

 

第一张图是在把代码注入到地图里面,启动首页的时候弹出个浮窗,下载网络的图片,苍老师你们不会不认识吧?

第二张图是微信运动步数作弊,6不6?

ok,那我们从头说起……

 

1.反编译

Android 的反编译,相信大家都应该有所了解,apktool、JEB 等工具。…

发表在 Android, 逆向分析 | 标签为 , , | 手把手教你逆向分析 Android 程序【转】已关闭评论

近期轰动的安卓流量劫持switcher样本分析——作者竟然用e4a模板开发【转】

针对之前Malwarebenchmark前天文章中提到的Android “switcher”流量劫持软件,小编第一时间拿到了样本,并进行了分析,下面将本样本和读者分享一下。

 

其实前一篇文章已经把主要的恶意行为写清楚了,这里小编再把这个样本的一些有趣之处以及分析方法写出来分享。

 

基本信息:

样本名称: 万能钥匙(WiFiwnys.apk)
包名: com.snda.wifi
发表在 Android, 未分类, 路由器 | 近期轰动的安卓流量劫持switcher样本分析——作者竟然用e4a模板开发【转】已关闭评论

基于文件特征的Android模拟器检测(附实现代码下载)【转】

在我们开发的App中,我们可能不希望它被运行在模拟器上,所以我们需要一种手段去检测模拟器,当当前设备被检测为模拟器时,我们就直接结束掉App进程。目前常见的检测模拟器手段主要被应用在游戏领域和加固领域。

通常我们去检测模拟器时会利用一些Android系统的运行特征,但这些方式比较复杂也比较难以理解,需要对Android系统有比较深入的了解,如何有一种办法比较高容错率并且检测效果还不错呢,之前,一般的检测模拟器的手段都是通过检测一些系统特定属性,如检测当前设备手机号,设备DeviceId,dev下是否存在socket/qemud和qemu_pipe两个文件,以及build.prop下的一些属性,在分析某赚软件时,它正是使用的这种检测方式,但是当当前设备被root后,就可以通过安装一些修改设备信息的软件来躲避这种检测方式,最近在看到某款游戏的检测手段时,看到了基于文件特征的检测方式,在这个基础上我又加了一些检测方式用来判断模拟器。

目前市面上流行的Android模拟器主要有Genymotion,天天模拟器,夜神模拟器,海马玩模拟器,畅玩模拟器,itools模拟器,逍遥模拟器,文卓爷模拟器,原生Android模拟器,BlueStacks,我们都知道除了原生模拟器之外,大部分Android模拟器都是基于VirtualBox的,这是重要的检测点之一,其次相比于手机,模拟器上少了一些重要特征,如蓝牙功能,温度传感器等等,这些都是可以用来检测模拟器的依据,同时,每种定制版本的模拟器上,都会有一些它特有的可执行文件,如下是我在测试多种模拟器时收集的特征文件:

if (anti("/system/lib/libdroid4x.so")) {   //文卓爷
}
if (anti("/system/bin/windroyed")) 
发表在 Android, 未分类, 经验技术 | 基于文件特征的Android模拟器检测(附实现代码下载)【转】已关闭评论

内网穿透:Android木马进入高级攻击阶段【转】

概述

近日,360烽火实验室发现有数千个样本感染了一种名为“DressCode”的恶意代码,该恶意代码利用实下流行的SOCKS代理反弹技术突破内网防火墙限制,窃取内网数据。这种通过代理穿透内网绕过防火墙的手段在PC上并不新鲜,然而以手机终端为跳板实现对企业内网的渗透还是首见[1]。

SOCKS是一种网络传输协议,SOCKS协议位于传输层与应用层之间,所以能代理TCP和UDP的网络流量,SOCKS主要用于客户端与外网服务器之间数据的传递,那么SOCKS是怎么工作的呢,举个例子:A想访问B站点,但是A与B之间有一个防火墙阻止A直接访问B站点,在A的网络里面有一个SOCKS代理C,C可以直接访问B站点,于是A通知C访问B站点,于是C就为A和B建立起信息传输的桥梁。其工作流程大致分为以下5步:

(1)代理方向代理服务器发出请求信息。

(2)代理服务器应答。

(3)代理方需要向代理服务器发送目的IP和端口。

(4)代理服务器与目的进行连接。

(5)连接成功后将需要将代理方发出的信息传到目的方,将目的方发出的信息传到需要代理方。代理完成。

由于SOCKS协议是一种在服务端与客户端之间转发TCP会话的协议,所以可以轻易的穿透企业应用层防火墙;它独立于应用层协议,支持多种不同的应用层服务,如TELNET,FTP,HTTP等。SOCKS协议通常采用1080端口进行通信,这样可以有效避开普通防火墙的过滤,实现墙内墙外终端的连接[2]。

二.地域分布

发表在 Android, 未分类, 经验技术 | 内网穿透:Android木马进入高级攻击阶段【转】已关闭评论

Android虚拟机调试器原理与实现【转】

本文主要讲解Android虚拟机动态调试背后涉及到的技术原理,除了JDWP协议细节,还包括任意位置断点、堆栈输出、变量值获取等基础调试功能的具体实现。另外本文提供了一款新的android动态调试工具——AVMDBG,提供调试API接口,支持python脚本扩展。作为android调试技术研究过程中的实验项目,AVMDBG功能尚不完善,开源出来仅供参考,如过有bug或其他疑问反馈欢迎提交issue。

一、Android动态调试方案

在讲解android动态调试实现之前,先回顾下针对apk进行动态调试常用的几种方法,比较下不同解决方案的特点和存在的问题:

1)smali插桩大法,反编译apk后在关键位置插入smali代码,通过打印日志的形式进行调试跟踪。但是这个方法非常繁琐,除了需要编写smali代码外,每次新增日志输出点都需要重新解包重打包,而且经常会遇到apk保护导致解包失败的问题需要解决。

2)IDA在6.6版本以后支持dex文件的动态调试,但是部分功能并不完善,比如监视寄存器变量的值,需要通过watch窗口手动添加并指定类型,而且单步过程中需要留意类型变化,可能导致虚拟机意外崩溃,导致这个问题的原因在后续文章中会分析到。

3)JEB,堪称apk静态分析的神器,在2.0版本以后开始加入动态调试的功能,最新版本同时支持smali代码和native代码的调试,功能可以说非常强大,如果说缺点可能只有一个,和IDA一样都是商业软件,收费不菲。

4)andbug开源项目,5年前的项目原作者已经不再维护,原项目只支持linux环境,动态调试关键功能也有缺失,例如不支持任意代码位置断点等。使用过程中也碰到过一些bug,类似shell的交互方式使用起来并不是很顺手。后来有国内开发者anbc

发表在 Android, 未分类, 经验技术 | Android虚拟机调试器原理与实现【转】已关闭评论

安卓ELF恶意软件深度分析【转】

ELF病毒背景

1.Android病毒发展趋势

自 2010 年开始,全球进入了移动互联网时代,作为主流移动操作系统Android也得到了迅猛发展。Android病毒也从简单到复杂,从单纯的dex病毒转向为elf病毒(其中elf是Linux下的可执行程序)。这一发展趋势有几个原因:

  • 经过多年发展程序编写人员水平普遍提高,大量的linux程序移植到android系统,病毒也随之发展。
  • android系统碎片化严重,提取漏洞不断累积导致病毒攻击方式多元化 ,
  • elf文件具有比dex程序更难分析的特点。
发表在 Android, 攻击经验, 未分类 | 安卓ELF恶意软件深度分析【转】已关闭评论