4622

Небольшое расследование на тему вирусов для Android

Астрологи объявили неделю вирусов, да и просто так совпало, что мне пришел очередной спам такого содержания:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Разумеется при переходе по ссылке показывается нечто типа "Ваш флеш не фреш! Срочно обновите, а то не покажем MMS". MMS. В 2017 году. Ну да ладно, открываем ссылочку с компа, автоматом закачивается файлик mms.apk. Открывать с телефона мы его конечно же не будем [Дружко.jpg].

Наверное многие знают, что apk-файл - это простой zip архив, который можно распаковать и посмотреть файлики внутри. Ну чтож, для начала сделаем это. Внутри много всего, в том числе есть картиночки.

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Судя по картинкам эта "mms'ка" что-то делает под видом маркета с картами. Возможно даже показывает сиськи, т.к. они имеются, правда в разрешении 48х48 пикселей. Дальнейший просмотр указывает на то, что после установки приложение говорит "Ошибка установки 24" и якобы больше ничего. Но это не так. Внутри apk есть скомпилированный под dalvik файл -  classes.dex, в котором должно быть самое интересное. Гуглим "dex decompiler online", первому же сайту скармливаем apk и получаем архив с исходным кодом. Разве что без коментариев.

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

И таки да, оно под видом Play Market запрашивает данные карты:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Но ведь оно должно их куда-то отправлять. Начинаем ковыряться в джаве. Внутри находим валидатор данных карты. А попутно находим класс обратной связи. Т.е. оно не только данные карты ворует, но и умеет принимать команды и как-то на них реагировать. Собственно названия классов отлично говорят о функционале:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

А вот и управляющий сервер:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Ну а тут видно как "бот" регистрируется на управляющем сайте:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Внутри оказывается ещё довольно много интересного. Особенно интересно, что данный вирус/бот общается на русском с управляющим сервером. Внутри сообщения все на русском и расчитан он ра русскоязычных пользователей. Вообщем суть преступления ясна. Начинаем наказание. Вооружившись whois-сервисом смотрим кто владелец подсети откуда качается apk-файл и куда писать абузу?

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Аналогичным способом смотрим владельцев управляющего сервера:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Пишем письма на оба ящика. Описываем ситуацию, прикладываем скриншоты и ждём...

За пару часов оба хостера отписались "Спасибо за содействие, сайт/учётка заблокированы".


P.S: Оба хостера из Питера, что наводит на мысли о том, что автор вируса/бота от туда же. Ну или это просто совпадение.

Найдены возможные дубликаты

+759
Респект за проделанную работу
раскрыть ветку 53
+349

Только тема сисек не раскрыта.

раскрыть ветку 47
+494

Да, как-то так.

Иллюстрация к комментарию
раскрыть ветку 6
+61
(.Y.)

Не благодари
раскрыть ветку 25
+145

Charley Atwell

Иллюстрация к комментарию
раскрыть ветку 12
+6
Скачай и раскрой
+6
А кто нибудь знает, что делать, если мама установила этот АПК?
раскрыть ветку 3
+7
А телефон твой))
+3
А папа ввел данные карты
+1
А моя мама не умеет читать смс, поэтому я спокоен) Телефон же для того что бы звонить)
+1

Согласен. Чувак хорош. А я как-то вот знатно удивился, когда мне в 2017 году пришла смс-ка вроде "Мама, я в беде. Пришли денег". Неужели есть ещё те, кто ведётся на это?

+125

"dojki.jpg" :D

раскрыть ветку 10
+185

Да, это должно было замедлить разбор вируса, но не прокатило.

раскрыть ветку 8
+119

А всё потому что 48х48

раскрыть ветку 7
0

дальше не смог прочитать

+237
Уважаемый, тебя мировое сообщество со вчерашнего дня ждёт , шифровальщик аттакэ!!! За работу
раскрыть ветку 53
+169

К сожалению с вирусами под вендами всё несколько сложнее.

раскрыть ветку 42
+62
@disabler, спасибо за пост! А эта хрень - то же самое делает?? Сергеев не знаю, номер неизвестный.
Иллюстрация к комментарию
раскрыть ветку 31
+14

#пилипост
Я бы с удовольствием почитал о том, как ты дошел до жизни такой стал заниматься кибербезопасостью, с чем сталкивался по пути и все в таком духе.

раскрыть ветку 5
+3
Ты крутой! 👍
+1
Вам падаван не нужен?
0

@disabler, скажи пожалуйста что делают эти вирусы? Запускал случайно, теперь сыкотно как-то.

https://cloud.mail.ru/public/9xed/h3jGxmcPn

0
Только если они не на джаве :) Хотя снифером и там можно поймать куда и что шлет. Можно даже ботнет под свои нужды угнать при особом желании :)
+1

На время распространение вируса остановили уже. Тупо зарегистрировали домен, на который вирус отправлял запрос, если сервер отвечает, вирус перестает распространятся.

раскрыть ветку 9
+26
Есть мнение, что автор вируса "не ожидал такой шумихи / собрал нужное количество Bitcoin" и сам активировал аварийное отключение. Далее, объявил о том, что он обхитрил дурачка вирусодела (т.е., самого себя) и закрыл источник всех бед.
раскрыть ветку 7
0

набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.

В этом наборе есть опасный инструмент DoublePulsar.

Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar

простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

+226

вирусы для андроид:


вирус: пожалуйста, скачайте меня!

система: установка из недоверенных источников заблокирована, изменить параметры можно в настройках.

// пользователь меняет настройки


вирус: пожалуйста, установи меня

система: вы уверены, что хотите установить неподписанный apk? это может быть вирус!

// пользователь устанавливает вирус


вирус: дай мне разрешение на рассылку смс и телефонные звонки, а также доступ к адресной книге

система: доступ заблокирован, необходимо подтверждение пользвоателя! это может привести к списанию средств.

// пользователь дает доступ


вирус: пожалуйста, установи меня администратором устройства!

система: установка администратора устройств заблокирована, необходимо подтверждение. ВНИМАНИЕ! не устанавливайте администратором устройства приложения, полученные из недоверенных источников!! это может быть вирус!!

// пользователь устанавливает вирус администратором устройтсва.


вирус: ха-ха! я завладел твоим смартфоном, списал деньги с карты сбербанка и отправил себя всем твоим контактам!!!

пользователь: ну надо же! как же это произошло?!!!!!!!!!!!!!

раскрыть ветку 36
+56
Весь смысл вирусов на андроид. Потому я и считаю что антивирусы не нужны, а самих вирусов нет - есть только безмозглые люди.
раскрыть ветку 30
+7

Так чисто чтобы вы умные знали, есть руткиты, ты можешь поставить обычное приложение, оно рутанет телефон, и будет делать что ему надо, и ты об этом можешь и не узнать

Для устройств на MTK вероятность получения рута почти 100%, для других по разному

Были инциденты с обнаружением такого счастья лежавшего в маркете несколько лет

раскрыть ветку 25
0

Перешел давича с windows phone на android (нужда заставила), в связи этим друзья помогите с 2 вопросами:

1. Какой антивирус выбрать из магазина

2. 6.0.1. версия android - не могу никак разобраться с нехваткой места, не могу перенести приложение на sd карту.

Немного отстал от жизни с windwos phone

раскрыть ветку 2
-2
В ПлейМаркет регулярно вирусы находят. Так что все не просто.
+7

Not quite true. За примером далеко ходить не буду, расскажу про то, что видел сам: тот же dirtyc0w, который осенью закрывали в ядре линукса, просто немного строк кода на плюсах (подробности в гугле), никаких разрешений не надо (кроме доступа к файлам). Переписывает бинарник с suid битом и после этого по-сути есть рутовый шелл. Дальше, понятное дело, мутить можно что хочешь. А вашим способом только самые простецкие вирусы пользуются=)

раскрыть ветку 2
0
Android это урезанное во всём Linux ядро + Java VM (Dalvik/ART).

Вероятно, многие баги Linux уже закрыты в Android, а даже если они и есть, то приоритетнее баги в Dalvik/ART.
раскрыть ветку 1
+1

Жалко, что плюсануть можно только один раз

0
Тот же принцип и на ПК, захожу в систему от имени гостя, а если надо что то поменять то открываю от имени администратора, последний вирус ловил в 2010, нем кто не слышал вирусы ещё существуют?
+31

Хост чаще всего используют сбрученый, никто со своих счетов их оплачивать не будет. Вполне эффективно, хоть и на время. Уже отправленные дистрибутивы работать не будут. (ранее отправленные смс с ссылками)

раскрыть ветку 26
+19

Если взять минимальную цену на хостинг + домен в бесплатной зоне .ml - украденные даже 500 рублей вполне перекрывают затраты.

раскрыть ветку 25
+21

Дело не в затратах, а анонимности.

раскрыть ветку 23
+1

Тот же бегет вообще бесплатным может быть.

+70
Вот он герой нашего времени
раскрыть ветку 1
0

Ну он же не регистрировал на себя домен, без понимая к чему это приведет.

+24

На картинке Сharley Atwell, если кому надо

раскрыть ветку 1
+16

Наконец-то хоть какой-то полезный результат этого расследования. А то ТС про какие-то  С&C, сервера, whois пишет, а самого главного и не сказал.

+122
Тоже этот спам приходил. Так смеялся про ммс в 2к17 что аж смузи из руки дропнулся.
раскрыть ветку 20
+79

Я от ужаса схватился за бороду и чуть айфон не уронил

раскрыть ветку 18
+95

"Специально для пользователей айфонов у нас есть mms.ipa"

+1

Я маффином чуть не подавился

раскрыть ветку 16
-3
В ДваКаСемнадцатом?
+16
обфусцированный classes.dex

После обфускатора (хотя бы штатного ProGuard) названия большинства классов, методов и полей (кроме тех, которые напрямую завязаны на layout) выглядят совсем не так, как на скриншотах.

раскрыть ветку 2
+18

Да, верно. Не обфусцированный, а скомпилированный под dalvik файл.

+1

ну зато разметку можно глянуть.

+7

А в управление "К" ты это отписал? Если автор вируса не сидит, то блокировка его сервака — как пизде дым.

раскрыть ветку 2
0

когда Вас убьют, тогда и приходите

0
Так нету потерпевших.
+7
Пишет Роман, это вaшe? Гoтoвы пoлучить, - http.imgkm.ru/17
Сегодня получил такое СМС. Если с компа зайти, то перекидывает на другой сайт, а если зайти как моб версия (ессесенно с компа), то говорит что есть ММС. Скачал, apk. Все делал как у тебя, только у моего классы по другому назывались. А можешь такой же пост сделать со ссылкой, которую я предоставил? И я не разобрался для чего этот вирус, но были классы типа send_sms
раскрыть ветку 9
+19

Суть таких "вирусов" одинаковая - кража. Личных данных, реквизитов карты или средств. Адрес сайта 155.133.82.186, а дальше он перебрасывает на aol, скрывая себя. IP адрес польский, не уверен, что они оперативно будут реагировать на абузу.

Иллюстрация к комментарию
раскрыть ветку 5
+4
Да, я об этом писал: если с компа в лоб пробовать зайти, то он сразу перебрасывает. Но если user-agent будет как мобила, то можно дальше пойти и скачать apk
раскрыть ветку 2
0

Сам домен сайта (photomoretechnologies.**/photo/) расположен у NameCheap, попробую написать abuse.

раскрыть ветку 1
+1
А меня они Сергеем кличут
0

а на компе такое не опасно открывать?

раскрыть ветку 1
0
Нет, совсем не опасно. Но они потом могут эволюционировать и арк с вондовирусом посылать) тогда будет опасно
+31

молодец что, довёл до конца и сообщил куда надо. Приятно что у нас кроме быдла и ворья есть достойные люди.

раскрыть ветку 4
+8

"кроме быдла и ворья", а вы тогда к какому лагерю относитесь?

раскрыть ветку 3
+10

Таки кто больше заплатит)

+4

К Д'Артаньянам.

+1

есть ещё достойные люди и я с ними.

+4

Фото "доек" похоже вот на эту девушку. татуха может быть подрисована.

А то вирус...код...

Иллюстрация к комментарию
раскрыть ветку 5
+58

Я больше верю гуглу.

Иллюстрация к комментарию
раскрыть ветку 3
+3
Ммммм, развааарочки