文件信息
文件名称 keaibaobeimuqinjiegongzhu_2016071609.apk应用信息
应用名称 可爱宝贝母亲节-公主宝贝壁纸证书信息
二进制文件已签名
v1 签名: True
v2 签名: False
v3 签名: False
v4 签名: False
主题: O=BabyHazel
签名算法: rsassa_pkcs1v15
有效期自: 2016-07-15 02:26:59+00:00
有效期至: 3015-11-16 02:26:59+00:00
发行人: O=BabyHazel
序列号: 0x753df67
哈希算法: sha256
证书MD5: b538863d3faa916b3537aa14f04842ff
证书SHA1: 208f96f0918a3d321ea5810868ca46e013329e28
证书SHA256: 17bf66b8aadce2863c8ac9adde4166766b700668c12c356ab7cd41b2c40d1da9
证书SHA512: fa32d4bc0b1a6f51998a46ac2564ac2e8478d5af1af4911cbe8101af5f6a3dc089a7572399723048acbb780771906f1c7f8d853cc6b7c5e30ab9426be3c32049
找到 1 个唯一证书应用程序权限
| 权限名称 | 安全等级 | 权限内容 | 权限描述 | 关联代码 |
|---|---|---|---|---|
| android.permission.INTERNET | 危险 | 完全互联网访问 | 允许应用程序创建网络套接字。 | 显示文件 |
| android.permission.READ_PHONE_STATE | 危险 | 读取手机状态和标识 | 允许应用程序访问设备的手机功能。有此权限的应用程序可确定此手机的号码和序列号,是否正在通话,以及对方的号码等。 | 显示文件 |
| android.permission.ACCESS_NETWORK_STATE | 普通 | 获取网络状态 | 允许应用程序查看所有网络的状态。 | 显示文件 |
| android.permission.GET_TASKS | 危险 | 检索当前运行的应用程序 | 允许应用程序检索有关当前和最近运行的任务的信息。恶意应用程序可借此发现有关其他应用程序的保密信息。 | |
| com.android.launcher.permission.INSTALL_SHORTCUT | 签名 | 创建快捷方式 | 这个权限是允许应用程序创建桌面快捷方式。 | |
| com.android.launcher.permission.UNINSTALL_SHORTCUT | 签名 | 删除快捷方式 | 这个权限是允许应用程序删除桌面快捷方式。 | |
| android.permission.ACCESS_COARSE_LOCATION | 危险 | 获取粗略位置 | 通过WiFi或移动基站的方式获取用户错略的经纬度信息,定位精度大概误差在30~1500米。恶意程序可以用它来确定您的大概位置。 | 显示文件 |
| android.permission.ACCESS_WIFI_STATE | 普通 | 查看Wi-Fi状态 | 允许应用程序查看有关Wi-Fi状态的信息。 | 显示文件 |
| android.permission.SET_WALLPAPER | 普通 | 设置壁纸 | 允许应用程序设置壁纸。 | |
| android.permission.SYSTEM_ALERT_WINDOW | 危险 | 弹窗 | 允许应用程序弹窗。 恶意程序可以接管手机的整个屏幕。 | 显示文件 |
| android.permission.RECEIVE_BOOT_COMPLETED | 普通 | 开机自启 | 允许应用程序在系统完成启动后即自行启动。这样会延长手机的启动时间,而且如果应用程序一直运行,会降低手机的整体速度。 | 显示文件 |
| android.permission.MOUNT_UNMOUNT_FILESYSTEMS | 危险 | 装载和卸载文件系统 | 允许应用程序装载和卸载可移动存储器的文件系统。 | |
| android.permission.SET_WALLPAPER_HINTS | 普通 | 设置壁纸大小 | 允许应用程序设置壁纸大小。 | |
| android.permission.WRITE_SETTINGS | 危险 | 修改全局系统设置 | 允许应用程序修改系统设置方面的数据。恶意应用程序可借此破坏您的系统配置。 | |
| android.permission.WRITE_EXTERNAL_STORAGE | 危险 | 读取/修改/删除外部存储内容 | 允许应用程序写入外部存储。 | 显示文件 |
| android.permission.READ_EXTERNAL_STORAGE | 危险 | 读取SD卡内容 | 允许应用程序从SD卡读取信息。 |
显示文件
cn/ht/b.java
com/baidu/appsearch/patchupdate/GDiffPatcher.java
com/baidu/appsearch/patchupdate/MD5.java
com/baidu/appsearch/patchupdate/MD5InputStream.java
com/baidu/appsearch/patchupdate/Utility.java
com/baidu/appx/BDSplashAd.java
com/baidu/appx/a/f.java
com/baidu/appx/i/n.java
u/aly/cd.java
u/aly/d.java
u/aly/j.java
u/aly/y.java
|
| android.permission.CHANGE_WIFI_STATE | 危险 | 改变Wi-Fi状态 | 允许应用程序改变Wi-Fi状态。 |
证书分析
| 标题 | 严重程度 | 描述信息 |
|---|---|---|
| 已签名应用 | 信息 | 应用程序已使用代码签名证书进行签名 |
| 应用程序存在Janus漏洞 | 高危 | 应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。 |
MANIFEST分析
| 序号 | 问题 | 严重程度 | 描述信息 | 操作 |
|---|---|---|---|---|
| 1 |
应用程序可以安装在有漏洞的已更新 Android 版本上 Android 2.2-2.2.3, [minSdk=8] |
警告 | 该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。 | |
| 2 |
应用程序数据可以被备份 [android:allowBackup=true] |
警告 | 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。 | |
| 3 |
Service (com.br.livewallpaper.template.LWService) 受权限保护, 但是应该检查权限的保护级别。 Permission: android.permission.BIND_WALLPAPER [android:exported=true] |
警告 | 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。 | |
| 4 | Activity (com.br.livewallpaper.LaunchActivity) 的启动模式不是standard模式 | 高危 | Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。 | |
| 5 | Activity (com.br.livewallpaper.LaunchActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。 | 高危 | 活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (17) 更新到 28 或更高版本以在平台级别修复此问题。 | |
| 6 |
Broadcast Receiver (com.baidu.appx.app_download.CompleteReceiver) 未被保护。 存在一个intent-filter。 |
警告 | 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。 | |
| 7 | Activity (cn.ht.khdfp) 的启动模式不是standard模式 | 高危 | Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。 | |
| 8 | Activity (cn.ht.khdfp) 容易受到 Android Task Hijacking/StrandHogg 的攻击。 | 高危 | 活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (17) 更新到 28 或更高版本以在平台级别修复此问题。 |
可浏览的ACTIVITIES
| ACTIVITY | INTENT |
|---|
网络安全配置
| 序号 | 范围 | 严重级别 | 描述 |
|---|
API调用分析
源代码分析
动态库分析
| 序号 | 动态库 | NX(堆栈禁止执行) | STACK CANARY(栈保护) | RELRO | RPATH(指定SO搜索路径) | RUNPATH(指定SO搜索路径) | FORTIFY(常用函数加强检查) | SYMBOLS STRIPPED(裁剪符号表) |
|---|---|---|---|---|---|---|---|---|
| 1 | armeabi/libandengine.so | True
info 二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。 |
False
high 这个二进制文件没有在栈上添加栈哨兵值。栈哨兵是用于检测和防止攻击者覆盖返回地址的一种技术。使用选项-fstack-protector-all来启用栈哨兵。这对于Dart/Flutter库不适用,除非使用了Dart FFI |
No RELRO
high 此共享对象未启用 RELRO。整个 GOT(.got 和 .got.plt)都是可写的。如果没有此编译器标志,全局变量上的缓冲区溢出可能会覆盖 GOT 条目。使用选项 -z,relro,-z,now 启用完整 RELRO,仅使用 -z,relro 启用部分 RELRO。 |
None
info 二进制文件没有设置运行时搜索路径或RPATH |
None
info 二进制文件没有设置 RUNPATH |
False
warning 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用 |
False
warning 符号可用 |
| 2 | armeabi/libar.so | True
info 二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。 |
True
info 这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出 |
Full RELRO
info 此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。 |
None
info 二进制文件没有设置运行时搜索路径或RPATH |
None
info 二进制文件没有设置 RUNPATH |
False
warning 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用 |
False
warning 符号可用 |
| 3 | armeabi/libbase64encoder_v1_4.so | True
info 二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。 |
True
info 这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出 |
Full RELRO
info 此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。 |
None
info 二进制文件没有设置运行时搜索路径或RPATH |
None
info 二进制文件没有设置 RUNPATH |
False
warning 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用 |
False
warning 符号可用 |
| 4 | armeabi/libMD5_v1.so | True
info 二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。 |
True
info 这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出 |
Full RELRO
info 此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。 |
None
info 二进制文件没有设置运行时搜索路径或RPATH |
None
info 二进制文件没有设置 RUNPATH |
False
warning 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用 |
False
warning 符号可用 |
文件分析
| 序号 | 问题 | 文件 |
|---|
VIRUSTOTAL扫描
检出率: 15 / 63 完整报告
| 反病毒引擎 | 检出结果 |
|---|---|
| Antiy-AVL | Trojan[Downloader]/Android.Cwfoot.a |
| Avira | ANDROID/Cwfoot.ujrxw |
| BitDefenderFalx | Android.Adware.Dowgin.YU |
| Cynet | Malicious (score: 99) |
| DrWeb | Android.Xiny.1792 |
| ESET-NOD32 | multiple detections |
| F-Secure | Malware.ANDROID/Agent.FIUR.Gen |
| Fortinet | Riskware/Generic.Z.50F1E2!Android |
| GData | Linux.Trojan.Agent.D12QP2 (3x) |
| Detected | |
| Ikarus | Trojan.SuspectCRC |
| Kaspersky | HEUR:Trojan-Downloader.AndroidOS.Cwfoot.a |
| Microsoft | Trojan:Linux/Multiverze |
| Rising | Downloader.Cwfoot/Android!8.11013 (TFE:14:oDkJqxqXztO) |
| ZoneAlarm | HEUR:Trojan-Downloader.AndroidOS.Cwfoot.a |
滥用权限
恶意软件常用权限 是被已知恶意软件广泛滥用的权限。
其它常用权限 是已知恶意软件经常滥用的权限。
IP地图
域名检测
| 域名 | 状态 | 中国境内 | 位置信息 | 解析 |
|---|---|---|---|---|
| t.17xgame.com |
安全 |
否 | 没有可用的地理位置信息。 |
|
| baoruan.com |
安全 |
否 | 没有可用的地理位置信息。 |
|
| appu.91.com |
安全 |
是 |
IP地址: 59.56.20.246 国家: China 地区: Fujian 城市: Fuzhou 查看: 高德地图 |
|
| loopj.com |
安全 |
否 |
IP地址: 185.199.109.153 国家: United States of America 地区: Pennsylvania 城市: California 查看: Google 地图 |
|
| d2.brcdn.cn |
安全 |
否 | 没有可用的地理位置信息。 |
|
| log.umsns.com |
安全 |
是 |
IP地址: 59.82.112.112 国家: China 地区: Beijing 城市: Beijing 查看: 高德地图 |
|
| d2.17xgame.com |
安全 |
否 | 没有可用的地理位置信息。 |
|
| oc.umeng.co |
安全 |
否 | 没有可用的地理位置信息。 |
|
| appx.91.com |
安全 |
否 | 没有可用的地理位置信息。 |
|
| alog.umeng.co |
安全 |
否 | 没有可用的地理位置信息。 |
|
| jdom.org |
安全 |
否 |
IP地址: 208.95.104.182 国家: United States of America 地区: Oregon 城市: Corvallis 查看: Google 地图 |
|
| xml.org |
安全 |
否 |
IP地址: 104.239.240.11 国家: United States of America 地区: Texas 城市: Windcrest 查看: Google 地图 |
|
手机号码
网址
| 网址信息 | 源码文件 |
|---|---|
|
10.0.0.172 |
cn/ht/b.java |
|
http://appx.91.com/api.ashx |
com/baidu/appx/h/c.java |
|
http://d2.17xgame.com/3gdh/mxf/xbz.apk |
com/br/livewallpaper/LaunchActivity.java |
|
http://jdom.org/jdom2/transform/JDOMResult/feature http://jdom.org/jdom2/transform/JDOMSource/feature http://xml.org/sax/features/external-general-entities http://xml.org/sax/features/namespaces http://xml.org/sax/features/namespace-prefixes http://xml.org/sax/features/validation http://xml.org/sax/properties/declaration-handler http://xml.org/sax/handlers/DeclHandler http://xml.org/sax/properties/lexical-handler http://xml.org/sax/handlers/LexicalHandler |
org/jdom2/JDOMConstants.java |
|
http://temporary |
org/jdom2/adapters/AbstractDOMAdapter.java |
|
http://jdom.org/jdom2/transform/JDOMResult/feature |
org/jdom2/transform/JDOMResult.java |
|
http://jdom.org/jdom2/transform/JDOMSource/feature |
org/jdom2/transform/JDOMSource.java |
|
http://jdom.org/jaxp/xpath/jdom |
org/jdom2/xpath/XPath.java |
|
10.0.0.172 |
u/aly/t.java |
|
http://baoruan.com/adlink/ad/show/id/596 http://loopj.com/android-async-http) http://t.17xgame.com/forward?i=5 http://appu.91.com/AppU/Api?ActionID=_ActionID&Ver=_Ver/ http://alog.umeng.co/app_logs http://d2.brcdn.cn/3gdh/mxf/brjl_m_xbz003.apk http://xml.org/sax/properties/declaration-handler http://d2.17xgame.com/3gdh/mxf/3dzm_m_xf01.apk http://d2.brcdn.cn/3gdh/mxf/lewan_m_xf01.apk http://d2.brcdn.cn/3gdh/surh/M_A10_xm_001.apk http://xml.org/sax/handlers/LexicalHandler http://xml.org/sax/features/external-general-entities http://baoruan.com/adlink/ad/show/id/594 http://jdom.org/jdom2/transform/JDOMSource/feature http://xml.org/sax/handlers/DeclHandler http://alog.umeng.com/app_logs http://jdom.org/jdom2/transform/JDOMResult/feature 10.0.0.172 http://xml.org/sax/properties/lexical-handler http://xml.org/sax/features/namespace-prefixes http://log.umsns.com/share/api/ http://temporary http://jdom.org/jaxp/xpath/jdom http://oc.umeng.co/check_config_update http://oc.umeng.com/v2/check_config_update http://oc.umeng.com/check_config_update http://xml.org/sax/features/validation http://oc.umeng.com/v2/get_update_time http://appx.91.com/api.ashx http://dl.ops.baidu.com/appsearch_AndroidPhone_1012700a.apk http://d2.17xgame.com/3gdh/mxf/xbz.apk http://xml.org/sax/features/namespaces http://log.umsns.com/ |
自研引擎分析结果 |
FIREBASE实例
邮箱
追踪器
| 名称 | 类别 | 网址 |
|---|---|---|
| Baidu APPX | https://reports.exodus-privacy.eu.org/trackers/96 | |
| Umeng Analytics | https://reports.exodus-privacy.eu.org/trackers/119 |
密钥凭证
活动列表
已显示 4 个activities
1、 com.br.livewallpaper.LaunchActivity
2、 com.baidu.appx.uikit.BDActivity
3、 com.baidu.autoupdatesdk.ConfirmDialoigActivity
4、 cn.ht.khdfp
服务列表
已显示 1 个services
1、 com.br.livewallpaper.template.LWService
广播接收者列表
已显示 2 个receivers
1、 com.baidu.appx.app_download.CompleteReceiver
2、 com.baidu.autoupdatesdk.receiver.BDBroadcastReceiver
内容提供者列表
第三方SDK
| SDK名称 | 开发者 | 描述信息 |
|---|
文件列表
META-INF/MANIFEST.MF
META-INF/BABYHAZE.SF
META-INF/BABYHAZE.RSA
AndroidManifest.xml
assets/gfx/1.jpg
assets/gfx/2.jpg
assets/gfx/3.jpg
assets/gfx/4.jpg
assets/gfx/88.png
assets/gfx/template.xml
assets/showbz.temp
classes.dex
lib/armeabi-v7a/libandengine.so
lib/armeabi-v7a/libar.so
lib/armeabi/libMD5_v1.so
lib/armeabi/libandengine.so
lib/armeabi/libar.so
lib/armeabi/libbase64encoder_v1_4.so
lib/x86/libMD5_v1.so
lib/x86/libandengine.so
lib/x86/libar.so
lib/x86/libbase64encoder_v1_4.so
res/drawable-hdpi/ic_launcher.png
res/drawable-hdpi/list_preview.png
res/drawable-hdpi/preview_1.jpg
res/drawable-hdpi/preview_2.jpg
res/drawable-hdpi/preview_3.jpg
res/drawable/bg_buttom.xml
res/drawable/circle.xml
res/drawable/divide_hor.xml
res/drawable/icon_xbz.png
res/drawable/img_more.png
res/drawable/img_setpaper.png
res/drawable/img_share.png
res/drawable/img_show.png
res/drawable/share_button_bg.xml
res/drawable/share_dialog_bg.xml
res/layout/bottom_bar2.xml
res/layout/circle.xml
res/layout/dialog_download.xml
res/layout/main_launch.xml
res/layout/title_bar.xml
res/xml/wallpaper.xml
res/xml/wallpaper_settings.xml
resources.arsc
污点分析
当apk较大时,代码量会很大,造成数据流图(ICFG)呈现爆炸式增长,所以该功能比较耗时,请先喝杯咖啡,耐心等待……| 规则名称 | 描述信息 | 操作 |
|---|---|---|
| 病毒分析 | 使用安卓恶意软件常用的API进行污点分析 | 开始分析 |
| 漏洞挖掘 | 漏洞挖掘场景下的污点分析 | 开始分析 |
| 隐私合规 | 隐私合规场景下的污点分析:组件内污点传播、组件间污点传播、组件与库函数之间的污点传播 | 开始分析 |
| 密码分析 | 分析加密算法是否使用常量密钥、静态初始化的向量(IV)、加密模式是否使用ECB等 | 开始分析 |
| Callback | 因为Android中系统级的Callback并不会出现显式地进行回调方法的调用,所以如果需要分析Callback方法需要在声明文件中将其声明,这里提供一份AndroidCallbacks.txt文件,里面是一些常见的原生回调接口或类,如果有特殊接口需求,可以联系管理员 | 开始分析 |