用莘莘学子的原话:2019年9月27日这天,各大高校陆续沦陷......来,咱们先看看这战况:
一日之内,造成如此大规模伤害的不是别的,而是APK。APK是谁?文件啊!APK文件!
没错,就是这货。
据说,如果你是安卓手机,那么在下载这个文件之后,你的手机就会发疯似得发出娇喘声,而且还会默认将音量开到最大,无法调低,无法关机。
想想吧,无论你是在课堂上、图书馆、还是食堂,这震天动地的声响足以让你成为全校“最靓的崽”。
一时间,这件事走红各大院校,霸榜知乎热搜。尽管这个APK有个好听的名字——送给最好的TA,然而收到这份厚礼的人或许会患上一种病——手机抑郁症,就像这样:
为此,有民间大佬对这个不正经APK进行了反编译分析,哦嚯~于是就发现了一个10秒的音频,没错,凶手就是它!
另在博客上,吾爱破解也对这个整人APP进行了分析。
目录结构
他称,该APK文件中含有一段加载lua脚本的关键函数,而在加载之前肯定是要先解密的,所以只要找到解密函数,然后就可以把解密后的lua脚本dump出来。
使用IDA打开libluajava.so,经过分析找到函数luaL_loadbufferxluaL_loadbufferx的第二个参数是加密的字节数组,第三个参数是大小,第四个参数是lua文件位置。
这个函数就是加载加密lua脚本的地方,其中对脚本进行了解密操作。根据第四个参数我们可以区分目前加载的lua脚本名称,从而选择性地dump(即在函数开头下断点,查看第四个参数内容)luaL_loadbufferx函数伪代码如下:
首先对输入的字节数组进行判断,如果以1B开头,且第二位不是0C,则进行解密操作,否则直接调用j_lua_load加载lua脚本。
在第41行下断点即可获取到解密后的字节数组,从而dump。
在进行动态dump调试之后,通过分析得出之所以音量会自动调大并无法关闭,是因为lua脚本将其设定为放放音频和循环调整媒体音量的功能,并且拦截了返回键,禁止关机操作。
静音样本下载:
https://pan.baidu.com/s/1csqa3X86T8ebemZo2YXBrg
dump出来的lua
https://pan.baidu.com/s/1X0un1jgVB6QAgPRqNu_3Wg
这件事传的沸沸扬扬,不少学生发帖声称自己被坑,更有人分析该APK文件可能是病毒软件,并窃取机主的私人信息。当然,目前为止并没有专业人士就此事发声,以上结论仍处在猜测阶段。
更多消息,请关注雷锋网宅客频道,我们会在之后进行更新报道。