欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  移动技术

装了个APK文件后 我的手机莫名发出娇喘声 关机都没用

程序员文章站 2022-08-03 23:10:54
用莘莘学子的原话:2019年9月27日这天,各大高校陆续沦陷......来,咱们先看看这战况: 一日之内,造成如此大规模伤害的不是别的,而是apk。 apk是谁...

用莘莘学子的原话:2019年9月27日这天,各大高校陆续沦陷......来,咱们先看看这战况:

装了个APK文件后 我的手机莫名发出娇喘声 关机都没用

一日之内,造成如此大规模伤害的不是别的,而是apk。

apk是谁?文件啊!apk文件!

装了个APK文件后 我的手机莫名发出娇喘声 关机都没用

没错,就是这货。

据说,如果你是安卓手机,那么在下载这个文件之后,你的手机就会发疯似得发出娇喘声,而且还会默认将音量开到最大,无法调低,无法关机。

想想吧,无论你是在课堂上、图书馆、还是食堂,这震天动地的声响足以让你成为全校“最靓的崽”。

一时间,这件事走红各大院校,霸榜知乎热搜。尽管这个apk有个好听的名字——送给最好的ta,然而收到这份厚礼的人或许会患上一种病——手机抑郁症,就像这样:

装了个APK文件后 我的手机莫名发出娇喘声 关机都没用

为此,有民间大佬对这个不正经apk进行了反编译分析,哦嚯~于是就发现了一个10秒的音频,没错,凶手就是它!

装了个APK文件后 我的手机莫名发出娇喘声 关机都没用

另在博客上,吾爱破解也对这个整人app进行了分析。

装了个APK文件后 我的手机莫名发出娇喘声 关机都没用
目录结构

他称,该apk文件中含有一段加载lua脚本的关键函数,而在加载之前肯定是要先解密的,所以只要找到解密函数,然后就可以把解密后的lua脚本dump出来。

使用ida打开libluajava.so,经过分析找到函数lual_loadbufferxlual_loadbufferx的第二个参数是加密的字节数组,第三个参数是大小,第四个参数是lua文件位置。

这个函数就是加载加密lua脚本的地方,其中对脚本进行了解密操作。

根据第四个参数我们可以区分目前加载的lua脚本名称,从而选择性地dump(即在函数开头下断点,查看第四个参数内容)lual_loadbufferx函数伪代码如下:

装了个APK文件后 我的手机莫名发出娇喘声 关机都没用

首先对输入的字节数组进行判断,如果以1b开头,且第二位不是0c,则进行解密操作,否则直接调用j_lua_load加载lua脚本。

在第41行下断点即可获取到解密后的字节数组,从而dump。

在进行动态dump调试之后,通过分析得出之所以音量会自动调大并无法关闭,是因为lua脚本将其设定为放放音频和循环调整媒体音量的功能,并且拦截了返回键,禁止关机操作。

静音样本下载:

https://pan.baidu.com/s/1csqa3x86t8ebemzo2yxbrg

dump出来的lua:

https://pan.baidu.com/s/1x0un1jgvb6qagprqnu_3wg

这件事传的沸沸扬扬,不少学生发帖声称自己被坑,更有人分析该apk文件可能是病毒软件,并窃取机主的私人信息。

当然,目前为止并没有专业人士就此事发声,以上结论仍处在猜测阶段。

装了个APK文件后 我的手机莫名发出娇喘声 关机都没用