360加固保揭秘：盗取移动支付APP账号和密码过程

1、盗取移动支付APP账号和密码主要有三个步骤

1. 反编译，得到源码

2. 定位代码段裕，插入代码

3. 重哨特酱总盯打包，获取账号和密码

1、首先可以通过使用ApkTool、Jeb、baksmali/smali等反编译工具，反编译apk安装包，找到APP的mainactivity。

2、该款银行APP带有签名校验，想成功得到源代码，需要绕过签名校验。如果通不过签名校验，会对mainactivity进行finsh。所以我们在mainactivity中直接检索finsh函数，来找到APP的finsh逻辑，也就可以回溯该APP是怎样做到签名校验的。

3、找到finsh逻辑后，可以看到在if v0不等于0的情况下会等于0，那么可以根据v0进行它的复制操作，来找到它在什么情况下会签名校验失败。

4、在截图中可以看到代码中做了一个v3和v0的比较，意思是如果v3这个字符串如果和v0匹配的话结果就为0，也就是校验通过。如果v3和v0不一致，则校验失败。所以该APP的签名校验只要把v0的值进行修改，强制复制成和v3一样的字符串，就可以绕过签名校验了。

1、得到源代码后，用JEB打开该APP，找到edittextview，在里面看到一个onInsertCharacters的函数，这个就是用户在输入账号密码时，它会做哪些处理。根据红框中的代码逻辑，可以判断arg6就是用户输入的字符的明文。

2、可以做一下验证，我们在这个函数里插入log,把arg6的值打印出来，然后观察log，看是否可以打印出用户在手机上所操作的按钮对应的字母。

3、打开该银行APP的登录界面，在密码框里输入：asdfgh，看到log里是可以打印出明文的字符。这样就可以获取到用户登录APP时输入的密码了。

4、对于用户名的获取，就更加简单了。因为用户名是一个textview的形式，直接get text就可以获取到。

1、最后将该银行APP进行编译重打包。然后打开APP的登录界面，输入用户名和密码，点击登录。这个时候，可以看到我们在使用python开的httpsever会接收到一条请求，请求的参数就带有刚刚输入的账号和密码。这样就模拟了破解者盗取移动支付类APP登录账号和密码的全过程

1、既然破解者可以轻易的盗取APP的账号密码，所以开发者需要提高APP安全性，使用360加固保对APP进行加固保护。进行加固保护的APP能有效防止被反编译和恶意篡改，避免被二次打包，保护数据信息不会被黑客窃取。