装了个APK文件后 我的手机莫名发出娇喘声 关机都没用

用莘莘学子的原话：2019年9月27日这天，各大高校陆续沦陷......来，咱们先看看这战况：

一日之内，造成如此大规模伤害的不是别的，而是APK。

APK是谁？文件啊！APK文件！

没错，就是这货。

据说，如果你是安卓手机，那么在下载这个文件之后，你的手机就会发疯似得发出娇喘声，而且还会默认将音量开到最大，无法调低，无法关机。

想想吧，无论你是在课堂上、图书馆、还是食堂，这震天动地的声响足以让你成为全校“最靓的崽”。

一时间，这件事走红各大院校，霸榜知乎热搜。尽管这个APK有个好听的名字—;—;送给最好的TA，然而收到这份厚礼的人或许会患上一种病—;—;手机抑郁症，就像这样：

为此，有民间大佬对这个不正经APK进行了反编译分析，哦嚯~于是就发现了一个10秒的音频，没错，凶手就是它！

另在博客上，吾爱破解也对这个整人APP进行了分析。

目录结构

他称，该APK文件中含有一段加载lua脚本的关键函数，而在加载之前肯定是要先解密的，所以只要找到解密函数，然后就可以把解密后的lua脚本dump出来。

使用IDA打开libluajava.so，经过分析找到函数luaL_loadbufferxluaL_loadbufferx的第二个参数是加密的字节数组，第三个参数是大小，第四个参数是lua文件位置。

这个函数就是加载加密lua脚本的地方，其中对脚本进行了解密操作。

根据第四个参数我们可以区分目前加载的lua脚本名称，从而选择性地dump（即在函数开头下断点，查看第四个参数内容）luaL_loadbufferx函数伪代码如下：

首先对输入的字节数组进行判断，如果以1B开头，且第二位不是0C，则进行解密操作，否则直接调用j_lua_load加载lua脚本。

在第41行下断点即可获取到解密后的字节数组，从而dump。

在进行动态dump调试之后，通过分析得出之所以音量会自动调大并无法关闭，是因为lua脚本将其设定为放放音频和循环调整媒体音量的功能，并且拦截了返回键，禁止关机操作。

静音样本下载：

https://pan.baidu.com/s/1csqa3X86T8ebemZo2YXBrg

dump出来的lua：

https://pan.baidu.com/s/1X0un1jgVB6QAgPRqNu_3Wg

这件事传的沸沸扬扬，不少学生发帖声称自己被坑，更有人分析该APK文件可能是病毒软件，并窃取机主的私人信息。

当然，目前为止并没有专业人士就此事发声，以上结论仍处在猜测阶段。