แกะ APK แอปเงินกู้ สินเชื่อความสุข และ Fineasy ภายในมีอะไรซ่อนอยู่

ทาง droidsans ได้เอาไฟล์ติดตั้ง หรือ APK ของแอปที่มีปัญหาอย่าง Fineasy และแอปเงินกู้ สินเชื่อความสุข มาให้ทางนักพัฒนาลองแกะรายละเอียด และดูข้อมูลภายใน ว่าตัวแอปสามารถทำอะไรได้บ้าง และมีข้อมูลส่วนไหนที่ดูน่าสนใจ ก็พบว่า Fineasy นั้นสามารถติดตั้งแอปใหม่ลงในเครื่องได้ ส่วน สินเชื่อความสุข ดูเหมือนจะถูกพัฒนาขึ้นมาเพื่อใช้แค่ในประเทศไทยเท่านั้น

Fineasy รายละเอียดภายในแอป

• com.fintech.life
• เวอร์ชัน 2.10.73​ (210075)
• ข้อมูลผู้ออกลายเซ็นต์ (APK Signature)
  • fintech@fintech.com (fintech, Singapore, SG)
  • MD5: 63 2F C3 26 5F B4 14 47 F6 84 34 7D BF BC A3 BF
  • SHA-1: 9A 4D C2 92 CE A6 0B 75 B7 D5 B5 BE 32 9E 5C 3E FC F8 FC 3D
  • SHA-256: E2 61 40 F5 18 98 03 94 D0 17 D7 EC 24 21 DE 0A 4A 62 92 73 F6 72 87 C8 74 FF F0 D2 9C 01 29 F0
• มาพร้อมกับ ROM ของ OPPO และ realme ในหลาย ๆ รุ่น และถูกติดตั้งให้มีสิทธิ์ในระดับ System App ที่สามารถเข้าถึง Privilege อื่น ๆ ได้มากกว่าการติดตั้งแอปทั่วไปจาก Google Play หรือ Android App Store เจ้าอื่น
  • ยกตัวอย่างเช่น
    • สามารถทำ Silent App Installation ได้ (ถ้าจะทำ) โดยไม่ต้องให้ผู้ใช้กดเพื่อยืนยันการติดตั้งแอป (แบบเดียวกับที่ Google Play ทำได้)
    • แก้ไขการตั้งค่าบางอย่างภายในเครื่อง จากเดิมที่ต้องให้ผู้ใช้เป็นคนเข้าไปตั้งค่าด้วยตัวเองเท่านั้น
• Permission ที่สำคัญหรือต้องขออนุญาตจากผู้ใช้
  • Access Location
  • Access Camera
  • Read Images and Videos
  • Read & Write Data to External Storage
  • Read & Write Calendar
  • Display System Alert Window and Overlay Window
  • Enable Wake Lock เพื่อให้เครื่อง Active ตลอดเวลา
  • Use NFC
  • Use Biometric Authentication
  • Use Foreground Service (การทำงานเบื้องหลังที่แสดงการทำงานให้เห็นผ่าน Nofitication)
• มีการขอระบบแอนดรอยด์เพื่อเช็คแอปเหล่านี้ภายในเครื่อง
  • ovo.id
  • com.gojek.app
  • id.dana
  • com.lazada.android
  • com.shopee.ph
  • com.shopee.sg
  • com.shopee.th
  • com.shopee.my
  • com.tokopedia.tkpd
  • com.bukalapak.android
  • blibli.mobile.commerce
  • com.orami.parenting.android
  • bmd.android.apps
  • jd.cdyjy.overseas.market.indonesia
  • com.zalora.android
  • com.lakupon
  • com.kfit.fave
  • com.eatigo
  • com.zzkko
  • com.shopback.app
  • com.amazon.mShop.android.shopping
  • com.nike.plusgps
  • com.uniqlo.hk.catalogue
  • com.metrodeal.metrodealandroid
  • com.ebay.mobile
  • com.taobao.taobao
  • coapp.collectoffers.com
  • com.heytap.market
  • com.oppo.market
  • com.android.vending
  • com.google.market
  • com.grabtaxi.passenger
  • com.ss.android.ugc.trill
  • com.shopee.vn
  • com.shopee.id
  • com.einnovation.temu
  • e.books.reading.apps
  • com.facebook.katana
  • com.instagram.android
  • com.gojek.gopay
  • com.yandex.searchapp
  • com.oneplus.account
  • com.heytap.usercenter
  • com.heytap.vip
  • com.oppo.usercenter
  • com.oplus.vip
  • com.oplus.account
  • com.oppo.service.account
  • com.heytap.openid
  • com.oplus.stdid
  • com.oplus.member
  • com.oneplus.member
  • com.heytap.member
  • com.nearme.atlas
  • com.finshell.atlas
  • com.oplus.pay
  • com.google.android.apps.tv.launcherx
  • com.google.android.tvlauncher
  • com.google.android.tvrecommendations
  • com.oplus.aiunit
  • com.coloros.ocrservice
  • com.oplus.services
  • com.oplus.travelengine
  • com.oplus.ocar
  • com.coloros.ocs.opencapabilityservice
  • com.oplus.ocs
• ภายในแอปมีโค้ดที่เกี่ยวกับ com.finshell จำนวนเยอะมาก รวมไปถึงตัวแปรสำหรับชื่อแอปที่ตั้งชื่อว่า “finshell_app_name” จึงคาดว่าน่าจะมีความเกี่ยวข้องกับแอป https://play.google.com/store/apps/details?id=com.finshell.fin
• มี API Endpoint เป็น https://fineasy.topkredittk.com (ล่าสุดคือปิดไปแล้ว)
• มีโค้ดที่ชื่อว่า AdActivity ที่น่าจะเอาไว้แสดงโฆษณาด้วยการเปิดหน้าเว็ปภายในแอป (WebView)
  • แต่มีจุดสังเกตว่ามีการใช้ Javascript Interface เพื่อให้เว็ปสั่งงานบางอย่างภายในแอปได้ด้วย
  • คำสั่ง Javascript Interface ที่สำคัญ (มีหลายคำสั่ง แต่เลือกเฉพาะคำสั่งที่น่าสงสัย)
    • ดึงรายชื่อแอปทั้งหมดที่ติดตั้งอยู่ในเครื่อง
    • ติดตั้งแอปผ่านไฟล์ APK ที่ดาวน์โหลดตาม URL ที่หน้าเว็ปส่งมาให้ (ไม่สามารถยืนยันได้ว่าการติดตั้งแอปผ่านไฟล์ APK จากช่องทางนี้อยู่ในรูปแบบของ Silent App Installation หรือไม่)

สินเชื่อความสุข รายละเอียดภายในแอป

• com.cosyzone.finance
• เวอร์ชัน 2.0.27 (38)
• ข้อมูลผู้ออกลายเซ็นต์ (APK Signature)
  • fintech@fintech.com (fintech, Bangkok, TH)
  • MD5: A4 61 9F 1A 2D 5C B5 95 FB 38 75 A0 27 AB E1 3E
  • SHA-1: 85 9C 6A EC 2B FB 23 A5 3A 31 C8 CD CA 55 4B 6F 0A E8 14 6B
  • SHA-256: FD 29 50 12 5A F8 5D 68 B8 1D 5D 2D 24 1D C8 A3 52 46 8C 8D 49 AF 8C 95 8D D1 B6 70 99 39 28 C8
• มาพร้อมกับ ROM ของ OPPO และ realme ในหลาย ๆ รุ่น
• Permission ที่สำคัญหรือต้องขออนุญาตจากผู้ใช้
  • Access Location
  • Access Camera
  • Read Contact
  • Read & Write Calendar
  • Query All Installed App (Permission ที่ Google Play ไม่ให้แอปทั่วไปใช้)
  • Read Mobile Number
  • Access App Usage
• มีการขอระบบแอนดรอยด์เพื่อเช็คแอปเหล่านี้ภายในเครื่อง
  • com.heytap.market
  • com.oppo.market
  • com.facebook.katana
  • com.instagram.android
• ถ้าไม่ให้ Permission ครบทุกตัวที่ขอก็จะไม่ให้ทำขั้นตอนต่อไป
• มีการยืนยันตัวตนในตอนแรกด้วยเบอร์มือถือผ่าน OTP และมีการทำ KYC เพื่อยืนยันใบหน้า
• เป็นแอปที่พัฒนาขึ้นมาสำหรับประเทศไทยโดยเฉพาะ ดูจากโค้ดข้างในที่มีการเตรียมแต่ข้อความภาษาไทยทั้งหมด ไม่มีการแปลภาษาอื่นเลย
• มีการเข้ารหัสตอนส่งข้อมูลขึ้น Web Service ด้วย AES และ RSA
• API Endpoint ของแอป คือ “https://api.hizonetech.com/cosyzone” 

• https://api.hizonetech.com/cosyzone/system/start
• https://api.hizonetech.com/cosyzone/user/strategy
• https://api.hizonetech.com/cosyzone/user/quick-login
• https://api.hizonetech.com/cosyzone/user/sms-login
• https://api.hizonetech.com/cosyzone/util/verify-code
• https://api.hizonetech.com/cosyzone/user/sdk-login
• https://api.hizonetech.com/cosyzone/record/save
• https://api.hizonetech.com/cosyzone/identity/config

• หน้าเว็ปหลักภายในแอป “https://www.hizonetech.com/p/m/#/”
• หลังจากการยืนยันเบอร์มือถือด้วย OTP ขั้นตอนทั้งหมดจะเป็นการเปิดเว็ปภายในแอป (WebView)
• หน้าเว็ป Customer Service (จะถูกเปิดผ่านแอป) คือ https://www.hizonetech.com/p/m/#/mine/customer-service-now
• ในโค้ดมีคอมเม้นบางส่วนที่เป็นภาษาจีนด้วย
• มีโค้ดที่เรียกว่า Operator ที่จะดึงข้อมูลจากในเครื่องส่งขึ้น Web Service ซึ่งมีทั้งข้อมูลที่อัปโหลดทันทีที่เปิดแอป หรือรอคำสั่งผ่าน Javascript Interface จากหน้าเว็ปที่เปิดภายในแอป
  • แปลว่าในระหว่างที่เปิดหน้าเว็ปภายในแอปเพื่อใช้งาน หน้าเว็ปสามารถสั่งให้ส่งข้อมูลภายในเครื่องขึ้น Web Service ได้ตลอดเวลา
• หน้าเว็ปสามารถสั่งงานแอปผ่าน Javascript Interface ได้ดังนี้
  • เก็บข้อมูลเครื่อง
    • CPU
    • ความละเอียดหน้าจอ
    • Memory
    • WiFi
    • Bluetooth
    • Camera
    • รายชื่อแอปทั้งหมดที่ติดตั้งอยู่ภายในเครื่อง
    • ฯลฯ
  • เก็บรูปภาพภายในเครื่อง (ในเวอร์ชันที่ตรวจสอบ มีการลบโค้ดออกไปแล้ว)
  • เก็บตำแหน่งของเครื่อง (Latitude, Longitude, และ Altitude)
  • เก็บประวัติการโทรเข้าหรือโทรออก
  • เก็บรายชื่อเบอร์โทรติดต่อ
  • เก็บข้อความ SMS (ในเวอร์ชันที่ตรวจสอบ มีการลบโค้ดออกไปแล้ว)
  • เก็บเบอร์โทรของเครื่อง
  • บันทึกภาพหน้าจอในระหว่างการใช้งานแอป (ไม่ได้บันทึกภาพหน้าจอนอกแอป)
  • บันทึกไฟล์ภาพ QR Code ลงในเครื่อง
  • เก็บข้อมูลใน Calendar
  • เปิดหน้าเว็ปใด ๆ ผ่าน Web Browser ที่มีอยู่ในเครื่อง
  • เปิดกล้องเพื่อขอถ่ายรูป
  • แสดงหน้าต่างรีวิวแอปบน Google Play
• โค้ดภายในแอปมีการเรียกใช้งานคำสั่งที่ชื่อว่า com.finshell.sdk.FinSdk จึงน่าจะมีความเกี่ยวข้องบางอย่างกับแอป https://play.google.com/store/apps/details?id=com.finshell.fin ก็เป็นได้