Pull to refresh

Comments 8

А разве активити трояна не нужно каким то образом вызвать? приложение донор этого делать не будет. Как ожидается что юзер его запустит?
Я могу быть не прав, но мне кажется, что при нажатии на иконку легитимного приложения система бросает широковещательное сообщение на открытие в данном приложении MAIN_ACTIVITY. А в манифесте в <intent-filter> главной активити содержится что-то вроде:
 <action android:name="OPEN_MAIN_ACTIVITY" />
 <category android:name="android.intent.category.DEFAULT" />

Как мне кажется, в зависимости от этих строк система и определяет какую из активити приложения запустить. А так как в нашем случае таких активити будет две, то они и запустятся.
Но это мое предположение принципа работы Android.
Прошу прощения, случайно не дописал и отправил) есть возможность удалить коммент?
Если речь о
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>

То не совсем верно. В штатном порядке появятся две одинаковые иконки с одинаковыми названиями (если они не разграничены label и icon). На какую юзер нажмет- та и запустится. Исключения- сторонние лаунчеры (редко- заводские, от вендора), там могут быть свои алгоритмы запуска. Не могу быть на 100% уверен, но все девайсы, что есть на руках, ведут себя так.

В простейшем случае, можно определить свой Application класс (наследуемый от базового или android.app.Application), который может вызвать, через AlarmManager любой Activity/Service компонент с любой задержкой.


Тут важно понимать, что склейка любых apk не пройдет, как только декомпиляция, через apktool потерпит неудачу, а сделать такую защиту от подобных инструментов довольно легко.

apktool потерпит неудачу

Такое может быть? Может глупый вопрос, конечно, но я не представляю как может не получится декомпиляция на ассемблерный язык. Только если сам apk поврежден
Конкретно apktool сначала распаковывает ресурсы (resources.arsc), а затем декомпилирует dex файл. Если немного модифицировать resources.arsc (apk останется полностью валидным), то apktool вылетает с исключением и даже не дойдёт до стадии dex декомпиляции.
Данную статью и все остальные вопросы нужно рассматривать только как вектор угроз.
Объяснять доступно, как троянская часть получит управление не стоит.

Буквально на прошлой неделе в топ-500 попалась такая поделка.
Первый релиз с большим номером версии, он же последний. 100 тысяч установок за 2 недели. Органически приложение с заявленным функционалом набирало бы их минимум
год. При запуске требует права доступа к звонкам. Если не дать — завершается.
Из интереса нашел донора этой поделки. До этой статьи думал, что хоть крутой хакер такое может сделать.
Но после этой статьи понял — любой школьник осилит.
Sign up to leave a comment.

Articles