Реверс-инжиниринг — это трудоемкая и интересная задача, которая поддается не всем. Любой может «скормить» программу декомпилятору, но не у всех хватит выдержки разобраться в хитросплетениях машинных команд. Процесс становится сложнее, если исследование проводится над программой для другого устройства, например телефона с ОС Android.

Звучит сложно. Долгое время и мне так казалось, особенно при создании модов для приложений. Байт-код smali неплох, но писать на нем сложную логику вручную — неблагодарное занятие. Но недавно мне попался на глаза решение для динамического реверс-инжиниринга — Frida.

Frida — это инструмент, который позволяет вживлять небольшой кусок JavaScript-кода прямо в запущенное приложение и менять его поведение. Под катом я расскажу, как работать с Frida, исследовать приложения на телефоне без root-доступа и создавать свои моды.

Дисклеймер. Данный текст предоставляется исключительно в развлекательных целях. Автор не несет ответственности за любые возможные действия, вдохновленные прочитанным текстом. 

Помимо этого, многие разработчики приложений в правилах использования (ToS) или в лицензии прямо запрещают реверс-инжиниринг, декомпиляцию и прочие изыски над своими приложениями. В редких случаях, как, например, с серверной частью Minecraft, исследования и модификации разрешены, но исключительно для личного пользования. 

Чтобы не нарушить никаких правил, в качестве «подопытного» я выбрал приложение с открытым исходным кодом под интересным названием «KGB Messenger». Это приложение специально создано для практики в играх формата CTF (Capture The Flag) и состоит из нескольких простых экранов со своими загадками. Мы не будем спойлерить настоящее решение и флаги, а просто модифицируем приложение, чтобы обойти одну «сюжетную» проверку, и добавим своего «пользователя» в это приложение.

Бесплатный курс по мобильному тестированию

Станьте экспертом в Mobile QA. Научитесь проверять приложения разных платформ.

Изучить →

Подготовка окружения

Профессионалы своего дела и опытные участники CTF могут собирать себе «полноценное» окружение, которое состоит из Android Studio, эмулятора с root-правами и нескольких декомпиляторов на все случаи жизни. 

В рамках статьи я спроектирую ситуацию, когда исследователь не хочет тянуть все зависимости Android Studio и проводит эксперименты непосредственно на своем телефоне без root-доступа. Сперва просто поставим приложение и посмотрим, что оно из себя представляет.

При попытке запустить приложение сразу же появляется ошибка, что его можно запустить только на русских устройствах. Значит, пора доставать инструменты. Нам потребуется следующее.

• Python 3.x — у меня 3.13.9.

• Node.js и npm — я использовал 22.12.0 и 10.9.0.

• Java Runtime Environment (JRE).

• Android Debug Bridge (adb) — его можно установить через Android Studio, а можно скачать отдельно в виде SDK Platform Tools.

• APKTool — инструмент декомпиляции APK-файлов.

• zipalign — инструмент выравнивания файлов по четырем байтам, это важно для новых версий ОС Android.

• apksigner — утилита для подписи APK-файла.

Большинство утилит существуют как под Windows, так и под Linux. Я запускаю практически все программы на Windows, кроме zipalign и apksigner. Их я выполняю в WSL, потому что эти программы есть в репозиториях ОС Ubuntu. 

«Сердцем» нашего приключения является Frida — динамический инструмент для разработчиков, реверс-инженеров и исследователей безопасности. Frida работает как отладчик с интерактивной консолью и поддержкой скриптов на языке JavaScript (движок V8). Frida взаимодействует с программами, написанными на C, Go, .NET, Swift, Java, и может следить за вызовами функций и переопределять логику без доступа к исходному коду.  

Устанавливаем набор Frida на компьютер:

pip install frida-tools
pip install frida       
npm install frida      

Для отладки на удаленных устройствах есть Frida-server, которая выполняет всю работу на устройстве и связывается с «клиентом» на компьютере. Проблема в том, что без root-доступа нельзя запустить приложение с возможностью отладки. К счастью, это проблема решается использованием frida-gadget.

frida-gadget — это динамическая библиотека, которая загружается при запуске приложения и запускает Frida-server, ограниченный процессом приложения. Это позволяет изучать получить полный контроль над одним приложением без необходимости «рутования» телефона.

Внедрение библиотеки в приложение происходит в несколько команд:

# Внедряем библиотеку
frida-gadget --apktool-path "java -jar apktool_2.10.0.jar" kgb-messenger.apk

# Выравниваем файлы в архиве
zipalign -f -p -v 4 kgb-messenger/dist/kgb-messenger.apk kgb-messenger.patched.apk

# Создаем ключ для подписи (нужно сделать только один раз!)
keytool -genkey -v -keystore my.keystore -alias alias_name -keyalg RSA -keysize 4096 -validity 10000

# Подписываем APK-файл
apksigner sign --ks-key-alias app --ks my.keystore kgb-messenger.patched.apk

Особенности безопасности на Android не позволяют поставить приложение, подписанное другим сертификатом «поверх», поэтому удаляем и ставим заново. 

Теперь, если запустить приложение, то приложение откроется, но сообщения об ошибке не будет. Это потому, что frida-gadget перехватила управление и ждет команды  со стороны компьютера. Это сделано специально, чтобы исследователь получил доступ к приложению до того, как оно начнет полезную работу. 

По умолчанию frida-gadget слушает подключения по адресу 127.0.0.1 на порту 27042. Этот адрес телефона недостижим для компьютера, поэтому нужно пробросить порт с телефона на компьютер:

adb forward tcp:27042 tcp:27042

Обратите внимание, что frida-gadget — это известный инструмент, и разработчики приложений могут делать эмпирические проверки на наличие Frida на телефоне. Одна из таких проверок — открытый порт 27042. Так, например, во время написания статьи у меня перестала открываться одна из онлайн-игр на телефоне. Стоит остановить исследуемое приложение с Frida, и игра снова запускается. Чудеса!

Теперь запускаем приложение и подключаемся. Указываем localhost, а вместо имени процесса — Gadget.

E:\frida>frida -H 127.0.0.1 Gadget
     ____
    / _  |   Frida 17.2.15 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
   . . . .
   . . . .   Connected to 127.0.0.1 (id=socket@127.0.0.1)

[Remote::Gadget ]->

Теперь у нас есть интерактивная консоль, которая умеет совершать действия в памяти JVM-процесса приложения. 

Исследование приложения

Писать в консоли довольно неудобно, поэтому сразу создаем файл hello.js в текущем каталоге и вписываем в него следующий код.

// Объявляем глобальную переменную, которая будет доступна в консоли
var activity;

// Выполняем в контексте Java, это асинхронная функция
Java.perform(() => {
    // Перебираем все загруженные в память объекты-наследники Activity
    Java.choose('android.app.Activity', {   
        // Для каждого подходящего объекта вызывается эта функция
        onMatch: function(a) { 
            console.log("Found activity: " + a.getClass().getSimpleName() ); 
            activity = a;
        },    
        // В конце перебора будет выполнена эта функция
        onComplete: function() {      
            console.log("Activity search completed"); 
        }  
    });
})

Затем загружаем скрипт в консоли. Скрипт выполняется и мы можем посмотреть в объект.

[Remote::Gadget ]-> %load hello.js
Are you sure you want to load a new script and discard all current state? [y/N] y
Found activity: MainActivity
Activity search completed
[Remote::Gadget ]-> activity
"<instance: android.app.Activity, $className: com.tlamb96.kgbmessenger.MainActivity>"
[Remote::Gadget ]->

Теперь можно использовать автодополнение в консоли, чтобы изучить доступные методы в Activity. Дальше остается исследовательская деятельность. Но даже с нулевыми познаниями в байт-коде виртуальной машины мы можем посмотреть на декомпилированный код, который остался от выполнения команды frida-gadget.

В текущем каталоге находится каталог с именем APK-файла, а внутри нас ждут различные артефакты, в том числе smali-код приложения. Быстро проходимся по каталогам и по пути kgb-messenger/smali/com/tlamb96/kgbmessenger находим три интересных класса: MainActivity, LoginActivity и MessengerActivity. 

Smali, как и любой машинный код, читать не просто. Но если вам однажды придется это делать, то рекомендую шпаргалку в переводе @LionZXY. 

Изначальная задача в этого приложения заставить вас разобраться что именно проверяет приложение и какие данные оно ждет на вход, ведь эти данные — флаг, то есть ответ на задачу. В нашем случае флаг не представляет ценности, гораздо важнее «рабочее» приложение. Делаем смелое предложение, что можно проигнорировать ошибку и перейти в LoginActivity. 

Дополняем функцию onComplete:

var activity;
Java.perform(() => {
    Java.choose('android.app.Activity', {    
        onMatch: function(a) { 
            console.log(a)
            console.log("Found activity: " + a.getClass().getSimpleName() ); 
            activity = a;
        },    
        onComplete: function() {      
            console.log("Activity search completed"); 
	// Загружаем классы
	var Intent = Java.use("android.content.Intent");
	var LoginActivity = Java.use("com.tlamb96.kgbmessenger.LoginActivity");
	// Создаем объект 
	var intent = Intent.$new(activity, LoginActivity.class);
	// Запрашиваем смену Activity
	activity.startActivity(intent);
        }  
    });
})

Затем в консоли выполняем команду %reload и наблюдаем успех на телефоне. Появляется вопрос: «После каждого изменения скрипта нужно вводить %reload в консоли? И можно ли это как-то автоматизировать?» 

Ответ — да. При запуске можно указать скрипт, который нужно загрузить и Frida будет отслеживать его изменения и тут же применяет.

frida -H 127.0.0.1 Gadget -l hello.js

Однако вскоре вы заметите, что при каждой перезагрузкой скрипта у вас запускается новая LoginActivity. Исправим это:

var activity;
var login;
Java.perform(() => {
    Java.choose('android.app.Activity', {    
        onMatch: function(a) { 
            console.log("Found activity: " + a.getClass().getSimpleName() + " isResumed: " + a.isResumed() ); 
            if(a.getClass().getSimpleName() == "MainActivity") {
                if(a.isResumed()) {
                    // Если MainActivity активна, то сменяем на LoginActivity
                    var Intent = Java.use("android.content.Intent");
                    var LoginActivity = Java.use("com.tlamb96.kgbmessenger.LoginActivity");
                    var intent = Intent.$new(a, LoginActivity.class);
                    a.startActivity(intent);
                }
            } if(a.getClass().getSimpleName() == "LoginActivity") {
                // Сохраняем приведенную Activity
                login = Java.cast(a, Java.use("com.tlamb96.kgbmessenger.LoginActivity"))
            }else {
                // Сохраняем Acvitity для исследования
                activity = a;
            }
        },    
        onComplete: function() {      
            console.log("Activity search completed"); 
        }  
    });
})

Теперь при первом запуске MainActivity будет сменяться на LoginActivity, которую мы можем исследовать. Воспользуемся функциями Frida для получения функций и полей класса, объявленных именно в LoginActivity.

Java.perform(() => {
    var LoginActivity = Java.use("com.tlamb96.kgbmessenger.LoginActivity");
	console.log("====== Declared Methods ======")
    for(var m of LoginActivity.class.getDeclaredMethods()) {
        console.log(m)
    }
	console.log("====== Declared Fields ======")
    for(var m of LoginActivity.class.getDeclaredFields()) {
        console.log(m)
    }
})

Сохраняем скрипт и сразу же видим результат:

====== Declared Methods ======
private void com.tlamb96.kgbmessenger.LoginActivity.i()
private boolean com.tlamb96.kgbmessenger.LoginActivity.j()
public void com.tlamb96.kgbmessenger.LoginActivity.onBackPressed()
protected void com.tlamb96.kgbmessenger.LoginActivity.onCreate(android.os.Bundle)
public void com.tlamb96.kgbmessenger.LoginActivity.onLogin(android.view.View)
====== Declared Fields ======
private java.security.MessageDigest com.tlamb96.kgbmessenger.LoginActivity.m
private java.lang.String com.tlamb96.kgbmessenger.LoginActivity.n
private java.lang.String com.tlamb96.kgbmessenger.LoginActivity.o

Наше внимание привлекают две приватные функции и три приватных поля. Кажется, что n и o — это строки, в которые сохраняются значения из формы. Вводим «admin» в поле логина и «12345» в поле пароля, нажимаем кнопку входа, а затем «заглядываем» в приватные поля.

[Remote::Gadget ]-> login.n.value
"admin"
[Remote::Gadget ]-> login.o.value
"12345"
[Remote::Gadget ]-> login.j()
false
[Remote::Gadget ]-> login.i()
Error: java.lang.StringIndexOutOfBoundsException: length=5; index=7
    at <anonymous> (/frida/bridges/java.js:1)
    at value (/frida/bridges/java.js:8)
    at e (/frida/bridges/java.js:8)
    at apply (native)
    at value (/frida/bridges/java.js:8)
    at e (/frida/bridges/java.js:8)
    at <eval> (<input>:1)

Обратите внимание, что для доступа к значению нужно обратиться к полю value, иначе вы получите описание поля класса. 

• Метод i() возвращает булево значение и, вероятно, проверяет корректность пароля. 

• Метод j() явно ожидает, что в полях будет правильный логин и пароль.

Обновим значения и попробуем еще раз.

[Remote::Gadget ]-> login.n.value = "adminlong"
"adminlong"
[Remote::Gadget ]-> login.o.value = "1234567890"
"1234567890"
[Remote::Gadget ]-> login.i()
Error: java.lang.NullPointerException: Can't toast on a thread that has not called Looper.prepare()
    at <anonymous> (/frida/bridges/java.js:1)
    at value (/frida/bridges/java.js:8)
    at e (/frida/bridges/java.js:8)
    at apply (native)
    at value (/frida/bridges/java.js:8)
    at e (/frida/bridges/java.js:8)
    at <eval> (<input>:1)

Эврика! Метод i() действительно связан с логином и паролем и пытается показать нам Toast — всплывающее окно. Все действия с графическим интерфейсом должны выполняться в главном потоке. Даем команду на выполнение в главном потоке и видим всплывающее окно.

[Remote::Gadget ]-> Java.scheduleOnMainThread(() => {login.i();})

Корректный флаг появится только при правильной паре «логин-пароль». Но опять же: поиск флага выходит за рамки нашей задачи. Поэтому модифицируем методы LoginActivity, чтобы можно было войти в приложение по своим данным, а также отключим демонстрацию флага.

Java.perform(() => {
    var LoginActivity = Java.use("com.tlamb96.kgbmessenger.LoginActivity");
    LoginActivity.i.implementation = function () {
        // Переопределяем функцию i, которая показывает Toast
        // Оставляем пустое тело
    }
    LoginActivity.j.implementation = function () {
        // Переопределяем функцию j, которая проверяет пароль
        // и возвращает статус проверки
        if(this.o.value == "admin") {
            // Если пароль равен admin, то возвращаем успех
            return true;
        }
        // В остальных ситуациях выполняем оригинальную функцию
        return this.j();
    }
})

Запускаем приложение и обнаруживаем, что приложение проверяет не пару «логин-пароль», а сперва проверяет логин, затем — пароль. Логин придется узнать как-то без Frida.

Если все сделано правильно, то теперь у нас есть приложение, в котором игнорируется проверка устройства и добавлен «бэкдор» — возможность входа по паролю «admin». 

Основная проблема этой модификации — абсолютная неработоспособность без «привязки» к компьютеру. Добавим модификации немного автономности.

Сохранение изменений

У Frida-gagdet есть формат взаимодействия script, в котором выполняется скрипт вместо запуска сервера для интерактивного взаимодействия. Казалось бы, добавляем скрипт в APK-файл, переключаемся на режим взаимодействия script — и готово. Но нет. Сперва подготовим скрипт: уберем лишние отладочные строки и переменные.

// Импортируем функции для взаимодействия с Java
import Java from "frida-java-bridge";

Java.perform(() => {
    // Переопределение методов в LoginActivity
    var LoginActivity = Java.use("com.tlamb96.kgbmessenger.LoginActivity");
    LoginActivity.i.implementation = function () {}
    LoginActivity.j.implementation = function () {
        console.log("override")
        if(this.o.value == "admin") {
            return true;
        }
        return this.j();
    }
})

setTimeout(() => {
    Java.perform(() => {
        Java.choose('android.app.Activity', {    
            onMatch: function(a) { 
                if(a.getClass().getSimpleName() == "MainActivity") {
                    if(a.isResumed()) {
                        // Если MainActivity активна, то сменяем на LoginActivty
                        var Intent = Java.use("android.content.Intent");
                        var LoginActivity = Java.use("com.tlamb96.kgbmessenger.LoginActivity");
                        var intent = Intent.$new(a, LoginActivity.class);
                        a.startActivity(intent);
                    }
                }
            },    
            onComplete: function() {}  
        });
    });
}, 200);

Главное отличие скрипта для неинтерактивного способа — наличие явного импорта функций для взаимодействия с Java. Если этого не сделать, то скрипт просто не исполнится и Frida не скажет почему. 

Второе отличие — необходимость откладывать действия поиска на неопределенное время, чтобы все что нужно загрузилось в память. В идеале нужно переопределить функцию onCreate в MainActivity, но именно в ней происходит инициализация Frida, из-за чего уже нельзя изменить поведение этой функции.

Теперь собираем скрипт в формат для интеграции в APK-файл и собираем новый APK.

npm install frida-java-bridge
frida-compile -c -o hello-prod.js hello.js
frida-gadget --js hello-prod.js --apktool-path "java -jar apktool_2.10.0.jar" kgb-messenger.apk
# Далее выравниваем и подписываем, как описывалось ранее

Вот теперь у нас есть автономная модификация, которая просто работает. В теории все хорошо, но есть множество нюансов, которые узнаются только в процессе взаимодействия с Frida.

Подписывайтесь на мой Telegram-канал, там можно увидеть заметки по темам статей, над которыми я работаю, и небольшие познавательные посты, а по пятницам всегда время мемов. 

Бонус

Я решил сохранить некоторые из моментов, с которыми столкнулся в процессе работы с Frida. Я не во всех случаях понимаю, почему что-то работает или не работает, но нашел обходные пути и добился работоспособности.

Регистрация новых классов

Это очевидный момент, он находится довольно быстро: строки в JavaScript не могут быть аргументами в полях, которые принимают Java-строку.

var JString = Java.use("java.lang.String");
var arg = JString.$new("foobar");

Инициализация связи с Java

Хотя в статье я оборачивал весь код в лямбда-функцию, которая передавалась в Java.perform, консольные команды выполняются в глобальном контексте. Но чтобы в глобальном контексте работали команды вроде Java.use, вам необходимо инициализировать связь с Java и хотя бы один раз вызвать Java.perform.

Строковый тип в Java

Frida позволяет регистрировать классы во времени исполнения. Например, если вам необходимо определить какой-то интерфейс для обратного вызова (callback).

var OnSyncCallbackImp;

Java.perform(() => {
    OnSyncCallback = Java.use("com.example.app.OnCallback");
    OnSyncCallbackImp = Java.registerClass({
        // Имя может быть любое
        name: 'com.frida.LogSyncCallback',
        // Указываем какие интерфейсы реализуются
        implements: [OnSyncCallback],
        // Поля класса
        fields: {
            context: 'android.content.Context',
            path: 'java.lang.String'
        },
        // Методы класса
        methods: {
            // Конструктор. Может быть несколько перегрузок у каждого метода
            $init: [{
                // Аргументы
                argumentTypes: ["android.content.Context", "java.lang.String"],
                // Возвращаемый тип
                returnType: "void",
                implementation: function (arg1, arg2) {
                    // Все поля имеют тип Field, 
                    // для использования значения нужно поле value
                    this.context.value = arg1;
                    this.path.value = arg2
                }
            }],
            onError: [{
                returnType: 'void',
                argumentTypes: ['java.lang.String', 'int', 'int'],
                implementation: function (a, b, c) {
                    // реализация
                }
            }],
            onSuccess: [{
                returnType: 'void',
                argumentTypes: ['java.lang.String', 'int', 'int'],
                implementation: function (a, b, c) {
                    // Реализация
                }
            }],
        }
    });
})

В некоторых случаях Frida отказывалась регистрировать класс. Помогало только вынесение Java.registerClass в отдельный Java.perform и все чудесным образом начинало работать.

Несколько попыток поиска

В статье предлагается отсрочить поиск MainActivity на 200 мс. Хорошей идеей будет сделать механизм повторения в случае неудачного поиска, например, до пяти раз с периодом в 500 мс.

Курс по мобильному тестированию

Кажется, что мы разобрали простой CTF. Но на деле подобные задачи часто основываются на реальных случаях с уязвимостями. Поэтому тестировать мобильное приложение перед релизом — особенно важная задача.

Коллеги подготовили бесплатный курс по мобильному тестированию. Присоединяйтесь, если хотите узнать, на что важно обратить внимание перед продакшеном.

Заключение

Frida — это мощный инструмент, который позволяет исследовать и модифицировать приложения на Android без долгих перекомпиляций и чтения байт-кода. Помимо этого, адаптировать Frida-скрипт к новым версиям приложения гораздо быстрее и удобнее, чем разбираться в байт-коде. Тем не менее, Frida — это лишь один из инструментов и он не обладает всемогуществом.