13、恶意软件第三阶段分析：静态视角下的欺诈揭秘

恶意软件第三阶段分析：静态视角下的欺诈揭秘

1. 第三阶段概述

恶意软件样本的第三阶段是主要阶段，包含了大部分恶意功能。相较于前两个阶段，它拥有更多的类和代码。在Jadx中加载第三阶段代码，可看到代码主要分布在 com 和 vgy7.vgy7.vgy7.vgy7.* 两个包中。
- com 包：仅包含一个类 com.xn3o 。
- vgy7.vgy7.vgy7.vgy7.* 包：包含10个类，分布在多个子包中。

尽管恶意软件作者对变量名和字符串进行了混淆处理，但仍可大致看出代码的功能。例如， vgy7.vgy7.vgy7.vgy7.vgy7 类包含了一些混淆程度较低的字符串，暗示了网络、电话和JavaScript功能。不过，第三阶段代码量过大，难以全面解释，下面将从分析的入口点开始介绍。

2. Jadx反编译问题及解决方法

反编译 com.xn3o.xn3o 代码超出了Jadx的能力范围，这在处理大型复杂代码时偶尔会发生。可采取以下解决方法：
- 使用Jadx的“显示不一致代码”选项 ：该选项能显示无法正确反汇编的代码部分，虽然这些代码大多正确，但并非完美。
- 借助其他Android反编译器 ：如Bytecode Viewer工具包含六种不同的Android反编译器，通常至少有一种能为任何Android应用生成合理的反编译代码。 <