Gilli Danda 1.1.5版本 | 静态分析 _南明离火移动安全分析平台

温馨提示：本平台仅供研究软件风险、安全评估，禁止用于非法用途。由于展示的数据过于全面，请耐心等待加载完成。如有疑问或建议，可加入我们的微信群讨论

应用图标

文件信息

文件名称 com-ultpult-gilli-danda-16-56905762-bcf5cb835fbff288fa65b9651dd21e30.apk
文件大小 46.06MB
MD5 bcf5cb835fbff288fa65b9651dd21e30
SHA1 967eb145a976ac92632a4abb3dd5e1dadb19c7ee
SHA256 aee323f4184c7d57aabce1865eb5afddd22c5caec765774fa571457c899ea909
病毒检测 ⚠️ 3 个厂商报毒⚠️

应用信息

应用名称 Gilli Danda
包名 com.ultpult.gilli.danda
主活动 com.unity3d.player.UnityPlayerActivity
目标SDK 26 最小SDK 16
版本号 1.1.5 子版本号 16
加固信息未加壳

非法应用检测（该功能即将上线，识别赌博、诈骗、色情和黑产等类型应用）

组件导出信息

查看

扫描选项

重新扫描管理规则动态分析

反编译代码

Manifest文件查看

APK文件成为会员，解锁下载

Java源代码查看 -- 下载

证书信息

二进制文件已签名
v1 签名: True
v2 签名: False
v3 签名: False
v4 签名: False
主题: CN=Ult Pult, OU=Game Studio, O=UltPult, L=Boston, ST=Massachusetts, C=+1
签名算法: rsassa_pkcs1v15
有效期自: 2016-06-24 18:30:19+00:00
有效期至: 2066-06-12 18:30:19+00:00
发行人: CN=Ult Pult, OU=Game Studio, O=UltPult, L=Boston, ST=Massachusetts, C=+1
序列号: 0x19fc75d9
哈希算法: sha1
证书MD5: c5cb79a888b06fc5c47896947a5ecc10
证书SHA1: c991e9cf94515573d6a9a57f176f822d11820b49
证书SHA256: 9ead545ebc1f55a7bf2fe6c2ee5f1a83c60bbb0d2b4faa4a8bc6915449c28328
证书SHA512: a0a9a2ff5b09bcebfc2f4b93c0e0a633c54101ae9b501d29ce6d9c71bb3c182ac9ecf6615f5cacbcb7fe190e9ffcd2a9401e89622740600078cfc63cf948a32a
找到 1 个唯一证书

应用程序权限

权限名称	安全等级	权限内容	权限描述
android.permission.INTERNET	危险	完全互联网访问	允许应用程序创建网络套接字。
com.android.vending.BILLING	普通	应用程序具有应用内购买	允许应用程序从 Google Play 进行应用内购买。
android.permission.ACCESS_NETWORK_STATE	普通	获取网络状态	允许应用程序查看所有网络的状态。
android.permission.VIBRATE	普通	控制振动器	允许应用程序控制振动器，用于消息通知振动功能。

证书安全分析

高危

1

警告

0

信息

1

标题	严重程度	描述信息
已签名应用	信息	应用程序已使用代码签名证书进行签名
应用程序存在Janus漏洞	高危	应用程序使用了v1签名方案进行签名，如果只使用v1签名方案，那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序，以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

MANIFEST分析

高危

2

警告

3

信息

0

屏蔽

0

序号	问题	严重程度	描述信息	操作
1	应用程序可以安装在有漏洞的已更新 Android 版本上 Android 4.1-4.1.2, [minSdk=16]	信息	该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。	对应用 com.ultpult.gilli.danda 禁止使用 vulnerable_os_version 规则
2	应用程序数据存在被泄露的风险未设置[android:allowBackup]标志	警告	这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true，允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。	对应用 com.ultpult.gilli.danda 禁止使用 allowbackup_not_set 规则
3	Activity (com.unity3d.player.UnityPlayerActivity) 的启动模式不是standard模式	高危	Activity 不应将启动模式属性设置为 "singleTask/singleInstance"，因为这会使其成为根 Activity，并可能导致其他应用程序读取调用 Intent 的内容。因此，当 Intent 包含敏感信息时，需要使用 "standard" 启动模式属性。	对应用 com.ultpult.gilli.danda 禁止使用 activity_non_standard_launchmode 规则
4	Activity （com.unity3d.player.UnityPlayerActivity）容易受到 Android Task Hijacking/StrandHogg 的攻击。	高危	活动不应将启动模式属性设置为“singleTask”。然后，其他应用程序可以将恶意活动放置在活动栈顶部，从而导致任务劫持/StrandHogg 1.0 漏洞。这使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。	对应用 com.ultpult.gilli.danda 禁止使用 activity_task_hijacking 规则
5	Activity (com.unity.purchasing.googleplay.VRPurchaseActivity) 未被保护。存在一个intent-filter。	警告	发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。	对应用 com.ultpult.gilli.danda 禁止使用 activity_exported_intent_filter_exists 规则
6	Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护, 但是应该检查权限的保护级别。 Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true]	警告	发现一个 Service被共享给了设备上的其他应用程序，因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此，应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险，一个恶意应用程序可以请求并获得这个权限，并与该组件交互。如果它被设置为签名，只有使用相同证书签名的应用程序才能获得这个权限。	对应用 com.ultpult.gilli.danda 禁止使用 service_exported_protected_permission_not_defined 规则

可浏览的Activity组件

ACTIVITY	INTENT

网络通信安全

序号	范围	严重级别	描述

API调用分析

API功能	源码文件
一般功能-> IPC通信	显示文件 com/unity/purchasing/googleplay/ActivityLauncher.java com/unity/purchasing/googleplay/BillingServiceManager.java com/unity/purchasing/googleplay/GooglePlayPurchasing.java com/unity/purchasing/googleplay/IActivityLauncher.java com/unity/purchasing/googleplay/IabHelper.java com/unity/purchasing/googleplay/PurchaseActivity.java
调用java反射机制	bitter/jnibridge/JNIBridge.java com/unity/purchasing/googleplay/GooglePlayPurchasing.java
组件-> 启动 Activity	com/unity/purchasing/googleplay/ActivityLauncher.java com/unity/purchasing/googleplay/GooglePlayPurchasing.java com/unity/purchasing/googleplay/IActivityLauncher.java
加密解密-> Base64 加密	com/unity/purchasing/googleplay/GooglePlayPurchasing.java
隐私数据-> 录制音频行为	org/fmod/a.java
组件-> 启动 Service	com/unity/purchasing/googleplay/BillingServiceManager.java

安全漏洞检测

高危

1

警告

0

信息

1

安全

0

屏蔽

0

序号	问题	等级	参考标准	文件位置	操作
1	应用程序记录日志信息,不得记录敏感信息	信息	CWE: CWE-532: 通过日志文件的信息暴露 OWASP MASVS: MSTG-STORAGE-3	升级会员：解锁高级权限	Suppress the rule android_logging in com.ultpult.gilli.danda Suppress the rule android_logging in com.ultpult.gilli.danda only from these files
2	启用了调试配置。生产版本不能是可调试的	高危	CWE: CWE-919: 移动应用程序中的弱点 OWASP Top 10: M1: Improper Platform Usage OWASP MASVS: MSTG-RESILIENCE-2	升级会员：解锁高级权限	Suppress the rule android_aar_jar_debug_enabled in com.ultpult.gilli.danda Suppress the rule android_aar_jar_debug_enabled in com.ultpult.gilli.danda only from these files

Native库安全分析

序号	动态库	NX(堆栈禁止执行)	PIE	STACK CANARY(栈保护)	RELRO	RPATH（指定SO搜索路径）	RUNPATH（指定SO搜索路径）	FORTIFY(常用函数加强检查)	SYMBOLS STRIPPED(裁剪符号表)
1	armeabi-v7a/libmain.so	True info 二进制文件设置了 NX 位。这标志着内存页面不可执行，使得攻击者注入的 shellcode 不可执行。		True info 这个二进制文件在栈上添加了一个栈哨兵值，以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出	No RELRO high 此共享对象未启用 RELRO。整个 GOT（.got 和 .got.plt）都是可写的。如果没有此编译器标志，全局变量上的缓冲区溢出可能会覆盖 GOT 条目。使用选项 -z,relro,-z,now 启用完整 RELRO，仅使用 -z,relro 启用部分 RELRO。	None info 二进制文件没有设置运行时搜索路径或RPATH	None info 二进制文件没有设置 RUNPATH	False warning 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数（如 strcpy，gets 等）的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用	False warning 符号可用

文件分析

序号	问题	文件

敏感权限分析

恶意软件常用权限 1/30

android.permission.VIBRATE

其它常用权限 2/46

android.permission.INTERNET
android.permission.ACCESS_NETWORK_STATE

恶意软件常用权限 是被已知恶意软件广泛滥用的权限。
其它常用权限 是已知恶意软件经常滥用的权限。

IP地理位置

恶意域名检测

域名	状态	中国境内	位置信息
googleads.g.doubleclick.net	安全	是	IP地址: 180.163.151.166 国家: 中国地区: 上海城市: 上海查看: 高德地图
www.paypal.com	安全	否	IP地址: 146.75.49.21 国家: 瑞典地区: Vastra Gotalands lan 城市: Goeteborg 查看: Google 地图
twitter.com	安全	否	IP地址: 104.244.42.129 国家: 美利坚合众国地区: 加利福尼亚城市: 旧金山查看: Google 地图
www.linkedin.com	安全	是	IP地址: 180.163.151.166 国家: 中国地区: 上海城市: 上海查看: 高德地图
login.live.com	安全	否	IP地址: 20.190.144.161 国家: 大韩民国地区: 首尔teukbyeolsi 城市: 首尔查看: Google 地图
login.yahoo.com	安全	否	IP地址: 124.108.115.75 国家: 台湾省地区: 台北城市: 台北查看: Google 地图
pagead2.googlesyndication.com	安全	是	IP地址: 180.163.151.166 国家: 中国地区: 上海城市: None 查看: 高德地图

手机号提取

URL链接分析

URL信息	源码文件
http://chilliant.blogspot.com.au/2012/08/srgb-aG https://perf-events.cloud.unity3d.com/api/events/crashes http://scripts.sil.org/OFL http://www.styleseven.comFreeware http://www.ascendercorp.com/ https://docs.unity3d.com/Manual/UnityIAP.html http://ultpult.com/mobappapi/upgame.php?apiname=GilliDanda http://www.ultpult.com http://www.ascendercorp.com/typedesigners.html http://www.styleseven.comDigital http://www.josbuivenga.demon.nl	自研引擎-A
https://github.com/googlesamples/android-play-billing/issues/26	com/unity/purchasing/googleplay/IabHelper.java
https://github.com/googlesamples/android-play-billing/issues/26 https://www.google.com/dfp/senddebugdata https://www.google.com/dfp/debugsignals https://login.live.com https://www.facebook.com https://www.paypal.com 127.0.0.1 https://plus.google.com/ https://www.google.com/dfp/inapppreview www.google.com https://accounts.google.com https://pagead2.googlesyndication.com/pagead/gen_204 https://login.yahoo.com https://www.linkedin.com https://pagead2.googlesyndication.com/pagead/gen_204?id=gmob-apps https://www.google.com/dfp/linkdevice http://www.google.com https://twitter.com	自研引擎-S

Firebase配置检测

邮箱地址提取

第三方追踪器

名称	类别	网址
Google AdMob	Advertisement	https://reports.exodus-privacy.eu.org/trackers/312

敏感凭证泄露

已显示 1 个secrets

1、凭证信息=> "com.google.android.gms.games.APP_ID" : "\ 587169014769"

字符串信息

建议导出为TXT，方便查看。

活动列表

显示 6 个 activities

服务列表

显示 1 个 services

1 . com.google.android.gms.auth.api.signin.RevocationBoundService

广播接收者列表

内容提供者列表

第三方SDK

SDK名称	开发者	描述信息
Google Play Games plugin for Unity	Google	使游戏开发人员能在使用 Unity® 编写的游戏中集成 Google Play Games API。
Google Sign-In	Google	提供使用 Google 登录的 API。
Google Play Service	Google	借助 Google Play 服务，您的应用可以利用由 Google 提供的最新功能，例如地图，Google+ 等，并通过 Google Play 商店以 APK 的形式分发自动平台更新。这样一来，您的用户可以更快地接收更新，并且可以更轻松地集成 Google 必须提供的最新信息。
File Provider	Android	FileProvider 是 ContentProvider 的特殊子类，它通过创建 content://Uri 代替 file:///Uri 以促进安全分享与应用程序关联的文件。

文件列表

污点分析

当apk较大时，代码量会很大，造成数据流图（ICFG）呈现爆炸式增长，所以该功能比较耗时，请先喝杯咖啡，耐心等待……

规则名称	描述信息	操作
病毒分析	使用安卓恶意软件常用的API进行污点分析	开始分析
漏洞挖掘	漏洞挖掘场景下的污点分析	开始分析
隐私合规	隐私合规场景下的污点分析：组件内污点传播、组件间污点传播、组件与库函数之间的污点传播	开始分析
密码分析	分析加密算法是否使用常量密钥、静态初始化的向量（IV）、加密模式是否使用ECB等	开始分析
Callback	因为Android中系统级的Callback并不会出现显式地进行回调方法的调用，所以如果需要分析Callback方法需要在声明文件中将其声明，这里提供一份AndroidCallbacks.txt文件，里面是一些常见的原生回调接口或类，如果有特殊接口需求，可以联系管理员	开始分析