安卓加密

1 、概述 2017年6月29日、30日，国家互联网应急中心通报了相册类安卓恶意程序威胁信息，指出该类恶意木马通过短信群发方式进行传播，其除了窃取用户短信和通讯录以外，还对用户手机进行了远程命令控制（其中包括短信群发到感染设备通讯录完成传播和控制感染设备来电去电等功能），不排除后期对感染设备用户及其朋友圈进行诈骗和恶意消费等恶意行为。 鉴于该类恶意木马对用户个人隐私和 移动安全 造成的严重威胁，几维安全对其中一些样本进行了分析，并且发现部分恶意代码是通过伪装成当下流行的“王者荣耀游戏”的皮肤程序，利用各个APP商店、下载网站进行大量传播。 本文将对此类“王者荣耀皮肤”伪装者恶意程序进行详细分析。 2 、恶意木马行为简介 我们所分析的这款恶意木马伪装成“王者荣耀皮肤”应用以吸引用户下载安装（见下图）。运行后，该恶意木马会首先启动设备管理器界面，引导用户激活自己为设备管理员，这样可以避免被轻易卸载。设备管理员权限一旦被激活，该恶意木马便会将窃取到的感染设备安装激活状态、IMEI、机型、系统型号等信息以邮件的方式发送到攻击者指定的163邮箱，提示肉鸡上线。其次，该恶意木马还会每隔2分钟提示、诱导用户设置自己为默认的短信应用，以获取对短信数据库的读写权限。最后，恶意木马会删除图标，隐藏自身。 以上准备工作完成后

1. 源码混淆 如上图，对Android APP的源码进行混淆后混淆器将代码中的所有变量、函数、类的名称加密为简短的英文字母代号，在APP被破解后增加破解者对代码的阅读难度。 但是混淆的功效只能运作在APP已经被破解后，而且只是增加破解者的难度时间，对其防止破解的作用意义不是很大。 2. 反工具破解之伪加密 伪加密是Android4.2.x系统发布前最流行的加密方式之一，通过java代码对APK(压缩文件)进行伪加密，其修改原理是修改连续4位字节标记为”P K 01 02”的后第5位字节，奇数表示不加密偶数表示加密。伪加密后的APK不但可以防止PC端对它的解压和查看也同样能防止反编译工具编译。 但是伪加密对其APK加密后市场也无法对其进行安全检测，部分市场会拒绝这类APK上传市场。伪加密的加密方式和解密方式也早已公布导致它的安全程度也大大降低。Android4.2.x系统无法安装伪加密的APK。 3. 反工具破解之APK压缩文件破解 APK在PC上面可以看作一个压缩文件，在Android系统里面它就是一个手机系统软件文件。Android系统对APK的识别是从标志头到标志尾，其他多余数据都会无视。所以说在标志尾添加其他数据对把APK看做压缩文件的PC端来说这个文件被破坏了，所以你要对其进行解压或者查看都会提示文件已损坏，用反编译工具也会提示文件已损坏