Rabu, 23 Agustus 2017

APK Editor 1 : Tutorial Bypass Verifikasi Langganan Trixogo

Sesuai janji saya kemarin kali ini saya akan memberikan cara menggunakan aplikasi APK Editor sekaligus tutorial menggunakan aplikasi yang telah diunduh dari Trixogo ketika masa berlangganannya habis. Bagi yamg belum tahu Trixogo bisa baca ulasan saya di artikel review Trixogo.
APK editor yang dapat digunakan adalah yang versi pro seharga Rp 70.000 di GPlayStore. Oh iya anda juga harus mempunyai aplikasi yang diunduh dari Trixogo dan masa berlangganannya habis ya... 😉

Langkah pertama dalam mendapatkan cintanya eh melakukan hacking adalah kenali dulu target. Jadi silahkan buka aplikasi yang diunduh dari Trixogo saat masa berlangganannya habis. Pada aplikasi tersebut ada pemberitahuan bahwa perangkat tidak dikenali. Oke ini mungkin maksudnya 'saat mau berkomunikasi dengan mantan, eh si mantan pura-pura enggak kenal'.

Selanjutnya tap tombol *Buka Toko* lalu terbuka browser yang mengunjungi alamat server.appsclub.com. catat alamat ini kali aja penting.


Sekarang saatnya APK Editor, buka setting lalu beri tanda ceklis *smali editing* dan *rebuild confirmation* lalu save dengan tombol back.

Pada menu utama ada dua pilihan editing, karena aplikasi target sudah terinstall maka pilih *Select apk from app*. Dalam tutorial ini saya pilih Photo Fixer Pro. Tap pada apk tersebut lalu ada empat pilihan.

  • Full Edit, fungsi utamanya untuk mendecompile menjadi baksmali
  • Simple Edit, fungsi utamanya untuk mengganti resource seperti image, audio, file asset bahkan dex yang telah diedit
  • Common Edit, fungsinya untuk mengganti nama aplikasi, nama paket aplikasi juga versinya
  • Edit Data, fungsinya untuk mengedit data aplikasi yang tersimpan baik berupa preference xml atau database sqlite
Karena kita akan mengcrack apk mentah-mentah kita pilih Full Edit.


Tab pertama langsung berhadapan dengan  String, antarmuka tulisan dan bahasa bisa diubah, dikurangi bahkan ditambahkan. Berguna jika pengen narsis atau menterjemahkan. Tab ketiga adalah Manifest, berisi informasi aplikasi, perizinan dan sebagainya.


Tab kedua, Files, di sinilah kita bekerja mencari, menemukan dan melemahkan target operasi 😎.  Tap tombol Dex to Smali, tunggu sampai selesai lalu cari targetnya yang ada di folder smali. Apakah itu??? Let me think 🤔.

Tujuan utama kita adalah bisa menggunakan aplikasi Trixogo tanpa harus selalu berlangganan. Berarti minimal ada tiga opsi yang bisa dipilih
1. Yang paling umum adalah membalikkan logika algoritmanya, yang tadinya "*jika server memberi respon orang ini udah abis masa berlangganannya, maka hentikan aplikasi dan suruh berlangganan lagi*" menjadi "*jika server memberi respon orang ini udah abis masa berlangganannya, maka lanjutkan aplikasi aja deh*"

Caranya sama seperti di OllyDbg merubah JNZ jadi JZ atau JNE jadi JE, namun di baksmali opcode nya adalah if-nez, if-eqz dsb. Eits tapi hal ini agak dirty gitu deh, nanti orang trixogo heran, ini orang kagak bosen ya tiap hari buka aplikasi padahal langganannya udah abis.

2. Bagi yang sudah mahir, bisa dengan cara menghapus injek kode Trixogo atau metode verifikasinya. Saat aplikasi dijalankan, normalnya system akan membuka *class* file utama yang diberitahukan di manifest. Pada aplikasi ini file utama yang ditunjuk adalah injek kode dari Trixogo, disinilah metode verifikasi berada. Yang sudah mahir, tinggal mengarahkan atau melewatkan metode ini agar *class* aplikasi utama lah yang dibuka, bukan file class injek.  Tapi karena saya malas mencari dan masih nubie ya udah pake cara ketiga.
3. Mengedit string verifikasi aplikasi agar tidak bisa terhubung ke server. Maksudnya bukan menghentikan koneksinya tapi mengacaukan alamat server tujuan verifikasi. Di sini juga bug dari Trixogo, rinciannya :

  • Jika app menerima respon dari server bahwa status aktif maka lanjutkan aplikasi
  • Jika app menerima respon dari server bahwa status tidak aktif maka suruh langganan lagi
  • Jika tidak ada koneksi internet, suruh aktifitas data seluler dulu
Namun bagaimana jika app menerima respon dari server yang tidak menjelaskan aktif atau tidaknya??? Nah disinilah bug Trixogo ini, jika respon yang diterima tidak sesuai format maka Trixogo akan menganggap bahwa statusnya masih aktif.


Setelah melamun, akhirnya dapat juga targetnya, yaitu string alamat server verifikasi. Terus alamat servernya yang mana? Ya kita cari lagi. Eiittts tadi kita sudah dapet tersangka yaitu server.appsclub.com, coba cari string itu. Gak ketemu. Coba appclub.com aja.

Hasilnya kita dapat tiga file, coba buka baris-baris tersebut.
Wah ada drm.appsclub.com/api..../verification. Pasti ini nih alamat server verifikasi. Tapi kok gak ada server.appsclub.com?? Ah biarin..... Oke langsung ubah saja dengan mengganti string tersebut atau menghapusnya.
Disini harusnya jangan direplace dengan alamat web, lebih baik karakter acak ☺

Setelah itu, silahkan build kembali aplikasi tersebut.

Lamanya proses compile ini tergantung besarnya file, banyaknya file dan juga cpu hp tentunya.
Setelah selesai, tekan tombol Remove untuk menguninstall aplikasi yang terpasang. Lalu pencet tombol install. Lalu coba jalankan.

Hasilnya? GAGAL!!!😨 Belum berhasil 😬

Oke saatnya melamun dan mencari lagi apa yang kurang, oh iya server.appsclub.com tadi dimana ya???

Skip skip skip

Setelah mencari ketemulah tersangka baru yang yaitu bemobi-drm-service.apk yang ada di folder Assets.

Oke, kita bongkar lagi file ini, tapi ekstrak dulu dengan cara, beri ceklis lalu pencet tombol extract.

Setelah terekstrak, decompile lagi file ini dan cari string lagi seperti langkah di atas. Hasilnya :

Wah ternyata di sini toh, oke langsung aja replace. Terus build lagi.

Nah apk hasil dari build ini kita masukkan ke apk utama file yang di build pertama. Berhubung build pertama sudah diinstal, pilih lagi kayak tadi, namun jangan Full Edit tapi Simple Edit.

Masuk ke folder Assets lalu replace file apk ini dengan apk yang dibuild barusan.
Setelah selesai, ya tinggal simpan dan tunggu proses rebuild yang ketiga ini.

Jangan lupa sebelum menginstal build yang ketiga ini, uninstall dulu build pertama yang terinstall.
Silahkan jalankan, hasilnya? Wkwkwkwk congrajalation! 😬

Apabila artikel tutorial di atas tidak dimengerti, silahkan bisa melihat videonya disini. Dalam versi video ini langsung ke inti tutorial tanpa basa-basi busuk. Jadi tinggal ikutin saja langkahnya.
Siapin kuota 300MB jika memainkan resolusi tinggi.



https://youtu.be/ldpgyOSuk0o

Dengan berakhirnya tutorial ini berakhir pula artikel kali ini. Sepertinya beberapa artikel ke depan juga akan terus membahas seputar android, baik aplikasi, game, cheat dsb.

Wassalam




Eh ternyata sebelum saya mengulas tentang Trixogo, ada yang lebih dulu mereviewnya. 😩 Gagal pertamax deh..
Tapi kabar baiknya adalah artikel itu menyediakan link backup aplikasi Trixogo loh. Jadi kalau mau nyoba praktek tutorial di artikel ini bisa mengunjungi blog sebelah Galih.us




0 komentar :

Posting Komentar

Silakan tinggalkan komentar, kritik, saran atau apa saja yang penting sopan dan tidak SARA ya....

Jika ada pertanyaan atau request yang penting, bisa hubungi Admin di How to Contact

Terima kasih,
Dadan Purnama