资讯 政企安全
此为临时链接,仅用于文章预览,将在时失效

装了个APK文件后,我的手机莫名发出娇喘声,关机都没用

作者:灵火K
2019/09/27 19:54

用莘莘学子的原话:2019年9月27日这天,各大高校陆续沦陷......来,咱们先看看这战况:

装了个APK文件后,我的手机莫名发出娇喘声,关机都没用

一日之内,造成如此大规模伤害的不是别的,而是APK。APK是谁?文件啊!APK文件!

装了个APK文件后,我的手机莫名发出娇喘声,关机都没用

没错,就是这货。

据说,如果你是安卓手机,那么在下载这个文件之后,你的手机就会发疯似得发出娇喘声,而且还会默认将音量开到最大,无法调低,无法关机。

想想吧,无论你是在课堂上、图书馆、还是食堂,这震天动地的声响足以让你成为全校“最靓的崽”。

一时间,这件事走红各大院校,霸榜知乎热搜。尽管这个APK有个好听的名字——送给最好的TA,然而收到这份厚礼的人或许会患上一种病——手机抑郁症,就像这样:

装了个APK文件后,我的手机莫名发出娇喘声,关机都没用

为此,有民间大佬对这个不正经APK进行了反编译分析,哦嚯~于是就发现了一个10秒的音频,没错,凶手就是它!

装了个APK文件后,我的手机莫名发出娇喘声,关机都没用

另在博客上,吾爱破解也对这个整人APP进行了分析。

装了个APK文件后,我的手机莫名发出娇喘声,关机都没用

目录结构

他称,该APK文件中含有一段加载lua脚本的关键函数,而在加载之前肯定是要先解密的,所以只要找到解密函数,然后就可以把解密后的lua脚本dump出来。

使用IDA打开libluajava.so,经过分析找到函数luaL_loadbufferxluaL_loadbufferx的第二个参数是加密的字节数组,第三个参数是大小,第四个参数是lua文件位置。

这个函数就是加载加密lua脚本的地方,其中对脚本进行了解密操作。根据第四个参数我们可以区分目前加载的lua脚本名称,从而选择性地dump(即在函数开头下断点,查看第四个参数内容)luaL_loadbufferx函数伪代码如下:

装了个APK文件后,我的手机莫名发出娇喘声,关机都没用

首先对输入的字节数组进行判断,如果以1B开头,且第二位不是0C,则进行解密操作,否则直接调用j_lua_load加载lua脚本。

在第41行下断点即可获取到解密后的字节数组,从而dump。

在进行动态dump调试之后,通过分析得出之所以音量会自动调大并无法关闭,是因为lua脚本将其设定为放放音频和循环调整媒体音量的功能,并且拦截了返回键,禁止关机操作。

静音样本下载:

https://pan.baidu.com/s/1csqa3X86T8ebemZo2YXBrg

dump出来的lua

https://pan.baidu.com/s/1X0un1jgVB6QAgPRqNu_3Wg

这件事传的沸沸扬扬,不少学生发帖声称自己被坑,更有人分析该APK文件可能是病毒软件,并窃取机主的私人信息。当然,目前为止并没有专业人士就此事发声,以上结论仍处在猜测阶段。

装了个APK文件后,我的手机莫名发出娇喘声,关机都没用

更多消息,请关注雷锋网宅客频道,我们会在之后进行更新报道。

转载来源(包含图片):知乎博客

长按图片保存图片,分享给好友或朋友圈

装了个APK文件后,我的手机莫名发出娇喘声,关机都没用

扫码查看文章

正在生成分享图...

取消
相关文章