(´・ω・)ノ < らいなーです。
いや、今日11月15日は朝から参ってしまいました。
朝出勤前に川崎駅前東口のモアーズ下のマクドナルドでアイスコーヒーを注文、というかほぼ平日は同じことをしているのですが、
今日はいつもとは異なり、あからさまに味が違う。
しかも業務用の洗剤っぽい味がする…
なので今日はコーヒー、全部破棄でした。
おとなしく雨の日と同様、アゼリアのドトールにしときゃ良かったと思う次第。
まぁ朝07時のオープン前には10人以上並ぶのですけれど、それでも出勤前には寛げますよ。
さて、
今回はAndroidの話し。
※予めのご注意事項:キャプチャのサイズは通常より大きめです。元画像を貼り付けています。
友人との会話で、「ESファイルエクスプローラは以前マルウェア混入の実績があったがその有料版(広告除外版)である、ESファイルエクスプローラProは大丈夫なのだろうか…」という話しが出たことと、
僕自身がESファイルエクスプローラのPlayStoreのコメントを眺めていて、「なんでこの人たち、ベンダーに即対応しろとか日本語で上から目線なんだろう…」と思うところがあったので、ちょっと自分で知っている事は公開しておこう!
と思った次第です。
というわけで。
先ずはネットの公開情報をあたりましょう。
APKSCAN.org
https://www.apkscan.org
で、ESファイルエクスプローラProのAPKのチェック結果を当たってみます。
あらよっと。
バージョンコードが1010となっているものが、APKSCAN側で保持されているAPKファイルの最新で、v1.0.9のアプリケーションパッケージですね。
先日リリースされた、v1.1.2ではありませんが、ビールスディテクションズの欄をご覧ください。
この欄はウィルスのチェックを各ベンダーのウィルスチェックソフトで検査して、どれだけの製品で引っ掛かっているのかを示しています。
バージョンコード1008とか検査結果が8になっていて香ばしいですね。
詳細を見てみましょう。
警告がでてますねー。
8つも検出あるからマルウェアやで!
使わないで!
と。
でもここで脳筋反応してはいけません。
「そのAPK、ちゃんとしたところ(PlayStore)から拾ったん?」
という点を確認する必要があります。
APK Sourceの欄を確認します。
どこやねんこれ(笑)
恐らく違法パッケージでしょう。
汚染されていて当然。
賢い皆様はPlayStoreから入手されていると思いますので、この結果は参考に値しないとみて良いでしょう。
次に、バージョンコード1010を見てみましょう。
ユーザイメージとのことなので、恐らくPlayStoreから入手したアプリをAPK化したものと推測されますが、
これでも一製品で検出あり、の様子です。
External Analysis (Virus found)欄のVirusTotalのリンクをクリックして詳細を確認します(リンク先はAPKSCANからみると外部サイトになります。)
さぁどうでしょう?
Jiangminというウィルス検出エンジンで引っ掛かっていますね。Trojanとありますから、木馬(※)ですね。
※ランバ・ラル隊のゼイガンにつけられたフラウ・ボウ乙!って感じですね。
Jiangminとは、
中国の北京市にあるセキュリティベンダーで、日本においてはJUSTインターネットセキュリティ(所謂KVシリーズ)の開発元として知られており、漢字では江民科技と書きます。
網絡版殺毒www
オンライン版ウィルススキャンという意味ですが、チャイナのこのセンス、僕の大好物です!さつどくってwww
なぉこのベンダーの検出率を北京大学の出身者や現地駐在員にらいなーが確認したところによれば、
「中国国内のウィルス検出率は普通より少し劣る程度、海外ウィルスはぼろぼろの検出率」らしいです。
AVGやAvast!で検出されていないようですから誤検知とみてもよいのでは、と思われます。
え?
ここまで見たけど安心できない。
OK でございます。
リバースコンパイルしましょう!
スマホだけで!
まずは、ESファイルエクスプローラProなどのアプリバックアップ機能を用いてAPKを取得します。
非rootedのSoftbank 303shでESファイルエクスプローラPro v1.1.2のAPK、取得できました。
※アプリ側の権限によってはAPKが非rootedだと取得できない場合があります。
これを作業フォルダ作って移動して…
APKファイルの実態は(Androidアプリの開発をやられている方はご存知とは思いますが)Zipファイルなので、拡張子をzipに直します。
解凍します。
結果がこれです。
中身を少し眺めてみましょう。
¥assets の配下に変なファイルが…
adjunk.txtって何でしょう。
確認してみます。
広告関連のトランスレーション(中→英)JSONデータのようですね。
日本語環境ではあまり関係ないかも。
ソースコードを読まないと確証はとれませんが。
¥res¥raw配下には、クラウドアクセス関連のソースコードとおぼしきファイル群がありました。
確認してみると
JSONのパーサーであるjacksonのクラスファイルがありましたので、ソースコードからjackson経由でデータを呼び出しているのでしょう…
先日のリリースでDropbox周りのソースコードは変わっていると思いますからDropboxのファイル名がついたファイルも見てみましょう。
はい、文字化けしてますね。
バイナリ、もしくは暗号化されてます。
らいなーはこれでなんのファイルか解ってますが…
先頭二文字がPKですから直ぐわかりますね!
念のためバイナリエディタで見てみましょう。
Hex Editerというアプリを使いました。
有料アプリですが、時折差し込まれる広告に我慢すれば、バイナリの閲覧だけはできるようです。
はい。先頭がPKなので、
実態はZipファイルでした。
↓詳しくはWIKIPediaを見ていただければと思います。
https://ja.m.wikipedia.org/wiki/ZIP_(ファイルフォーマット)
拡張子をzipにして…
解凍します。
お、Dexファイルができましたね。
この中身は恐らくjavaのソースコード…
ですが通常、パソコンでの作業ですと、「Dex2jar」というツールを使ってDex形式からjavaのコードに変換(デコンパイル)するのですが、Androidアプリでそんなのあったかしら…
お?
おおっ!?
JaDXというツールですが、使えそうです!
権限も怪しくなさそうです。
先般のDexファイルを指定し、
解凍先を指定して実行…
デコンパイルしてるっぽいです。
関連したクラスファイルがないから微妙にエラー吐き出している様子ですが…
( ≧∀≦)ノ
解凍先にjavaのコードファイルが出来ています!
やったね!
上手くいかなければ…
いや、今日11月15日は朝から参ってしまいました。
朝出勤前に川崎駅前東口のモアーズ下のマクドナルドでアイスコーヒーを注文、というかほぼ平日は同じことをしているのですが、
今日はいつもとは異なり、あからさまに味が違う。
しかも業務用の洗剤っぽい味がする…
なので今日はコーヒー、全部破棄でした。
おとなしく雨の日と同様、アゼリアのドトールにしときゃ良かったと思う次第。
まぁ朝07時のオープン前には10人以上並ぶのですけれど、それでも出勤前には寛げますよ。
さて、
今回はAndroidの話し。
※予めのご注意事項:キャプチャのサイズは通常より大きめです。元画像を貼り付けています。
友人との会話で、「ESファイルエクスプローラは以前マルウェア混入の実績があったがその有料版(広告除外版)である、ESファイルエクスプローラProは大丈夫なのだろうか…」という話しが出たことと、
僕自身がESファイルエクスプローラのPlayStoreのコメントを眺めていて、「なんでこの人たち、ベンダーに即対応しろとか日本語で上から目線なんだろう…」と思うところがあったので、ちょっと自分で知っている事は公開しておこう!
と思った次第です。
というわけで。
先ずはネットの公開情報をあたりましょう。
APKSCAN.org
https://www.apkscan.org
で、ESファイルエクスプローラProのAPKのチェック結果を当たってみます。
あらよっと。
バージョンコードが1010となっているものが、APKSCAN側で保持されているAPKファイルの最新で、v1.0.9のアプリケーションパッケージですね。
先日リリースされた、v1.1.2ではありませんが、ビールスディテクションズの欄をご覧ください。
この欄はウィルスのチェックを各ベンダーのウィルスチェックソフトで検査して、どれだけの製品で引っ掛かっているのかを示しています。
バージョンコード1008とか検査結果が8になっていて香ばしいですね。
詳細を見てみましょう。
警告がでてますねー。
8つも検出あるからマルウェアやで!
使わないで!
と。
でもここで脳筋反応してはいけません。
「そのAPK、ちゃんとしたところ(PlayStore)から拾ったん?」
という点を確認する必要があります。
APK Sourceの欄を確認します。
どこやねんこれ(笑)
恐らく違法パッケージでしょう。
汚染されていて当然。
賢い皆様はPlayStoreから入手されていると思いますので、この結果は参考に値しないとみて良いでしょう。
次に、バージョンコード1010を見てみましょう。
ユーザイメージとのことなので、恐らくPlayStoreから入手したアプリをAPK化したものと推測されますが、
これでも一製品で検出あり、の様子です。
External Analysis (Virus found)欄のVirusTotalのリンクをクリックして詳細を確認します(リンク先はAPKSCANからみると外部サイトになります。)
さぁどうでしょう?
Jiangminというウィルス検出エンジンで引っ掛かっていますね。Trojanとありますから、木馬(※)ですね。
※ランバ・ラル隊のゼイガンにつけられたフラウ・ボウ乙!って感じですね。
Jiangminとは、
中国の北京市にあるセキュリティベンダーで、日本においてはJUSTインターネットセキュリティ(所謂KVシリーズ)の開発元として知られており、漢字では江民科技と書きます。
網絡版殺毒www
オンライン版ウィルススキャンという意味ですが、チャイナのこのセンス、僕の大好物です!さつどくってwww
なぉこのベンダーの検出率を北京大学の出身者や現地駐在員にらいなーが確認したところによれば、
「中国国内のウィルス検出率は普通より少し劣る程度、海外ウィルスはぼろぼろの検出率」らしいです。
AVGやAvast!で検出されていないようですから誤検知とみてもよいのでは、と思われます。
え?
ここまで見たけど安心できない。
OK でございます。
リバースコンパイルしましょう!
スマホだけで!
まずは、ESファイルエクスプローラProなどのアプリバックアップ機能を用いてAPKを取得します。
非rootedのSoftbank 303shでESファイルエクスプローラPro v1.1.2のAPK、取得できました。
※アプリ側の権限によってはAPKが非rootedだと取得できない場合があります。
これを作業フォルダ作って移動して…
APKファイルの実態は(Androidアプリの開発をやられている方はご存知とは思いますが)Zipファイルなので、拡張子をzipに直します。
解凍します。
結果がこれです。
中身を少し眺めてみましょう。
¥assets の配下に変なファイルが…
adjunk.txtって何でしょう。
確認してみます。
広告関連のトランスレーション(中→英)JSONデータのようですね。
日本語環境ではあまり関係ないかも。
ソースコードを読まないと確証はとれませんが。
¥res¥raw配下には、クラウドアクセス関連のソースコードとおぼしきファイル群がありました。
確認してみると
JSONのパーサーであるjacksonのクラスファイルがありましたので、ソースコードからjackson経由でデータを呼び出しているのでしょう…
先日のリリースでDropbox周りのソースコードは変わっていると思いますからDropboxのファイル名がついたファイルも見てみましょう。
はい、文字化けしてますね。
バイナリ、もしくは暗号化されてます。
らいなーはこれでなんのファイルか解ってますが…
先頭二文字がPKですから直ぐわかりますね!
念のためバイナリエディタで見てみましょう。
Hex Editerというアプリを使いました。
有料アプリですが、時折差し込まれる広告に我慢すれば、バイナリの閲覧だけはできるようです。
はい。先頭がPKなので、
実態はZipファイルでした。
↓詳しくはWIKIPediaを見ていただければと思います。
https://ja.m.wikipedia.org/wiki/ZIP_(ファイルフォーマット)
拡張子をzipにして…
解凍します。
お、Dexファイルができましたね。
この中身は恐らくjavaのソースコード…
ですが通常、パソコンでの作業ですと、「Dex2jar」というツールを使ってDex形式からjavaのコードに変換(デコンパイル)するのですが、Androidアプリでそんなのあったかしら…
お?
おおっ!?
JaDXというツールですが、使えそうです!
権限も怪しくなさそうです。
先般のDexファイルを指定し、
解凍先を指定して実行…
デコンパイルしてるっぽいです。
関連したクラスファイルがないから微妙にエラー吐き出している様子ですが…
( ≧∀≦)ノ
解凍先にjavaのコードファイルが出来ています!
やったね!
上手くいかなければ…
http://www.javadecompilers.com
のようなオンラインのデコンパイラを使ってみるのも良さそうですね。
テキストエディタで中身を見てみます。Androidなのでjotaを使います。
はい!
成功です!
ほかのソースコードもこれで確認できました。
ぱっとみた感じでは、
怪しいコードは無いようです。
(らいなーはjava初心者の人事業なので、複雑なコードになると解りませんが…)
とりあえず、
携帯だけでも、ソースコードを追えますので、解る人なら確認できる場所に怪しいコードを書くか?
というと恐らくNoだと思います。
2017年11月現在、少なくとも日本語環境では、マルウェアの心配は少ないと言えるのではないでしょうか。
adjunk.txtの役割は、個人的に少し気にはなりますが…
ここまでお読みくださりありがとうございました。
記事は以上でございます。
P.S.
この記事はすべてモバイルで仕上げましたが写真加工なしで2時間弱かかりました。
写真加工含めたらどうなるんでしょう。
((( ;゚Д゚))) ブロガー殺しか。
時間があったら記事中の画像を効率化するかもしれません。
----- 以下、関連記事
続きの記事はこちら
さらに続きの記事はこちら
さらにさらに続きの記事はこちら
結果的にMixplorerに移行した記事はこちら
テキストエディタで中身を見てみます。Androidなのでjotaを使います。
はい!
成功です!
ほかのソースコードもこれで確認できました。
ぱっとみた感じでは、
怪しいコードは無いようです。
(らいなーはjava初心者の人事業なので、複雑なコードになると解りませんが…)
とりあえず、
携帯だけでも、ソースコードを追えますので、解る人なら確認できる場所に怪しいコードを書くか?
というと恐らくNoだと思います。
2017年11月現在、少なくとも日本語環境では、マルウェアの心配は少ないと言えるのではないでしょうか。
adjunk.txtの役割は、個人的に少し気にはなりますが…
ここまでお読みくださりありがとうございました。
記事は以上でございます。
P.S.
この記事はすべてモバイルで仕上げましたが写真加工なしで2時間弱かかりました。
写真加工含めたらどうなるんでしょう。
((( ;゚Д゚))) ブロガー殺しか。
時間があったら記事中の画像を効率化するかもしれません。
----- 以下、関連記事
続きの記事はこちら
さらに続きの記事はこちら
さらにさらに続きの記事はこちら
結果的にMixplorerに移行した記事はこちら
アクセス
トータル
ランキング
