4624

Небольшое расследование на тему вирусов для Android

Астрологи объявили неделю вирусов, да и просто так совпало, что мне пришел очередной спам такого содержания:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Разумеется при переходе по ссылке показывается нечто типа "Ваш флеш не фреш! Срочно обновите, а то не покажем MMS". MMS. В 2017 году. Ну да ладно, открываем ссылочку с компа, автоматом закачивается файлик mms.apk. Открывать с телефона мы его конечно же не будем [Дружко.jpg].

Наверное многие знают, что apk-файл - это простой zip архив, который можно распаковать и посмотреть файлики внутри. Ну чтож, для начала сделаем это. Внутри много всего, в том числе есть картиночки.

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Судя по картинкам эта "mms'ка" что-то делает под видом маркета с картами. Возможно даже показывает сиськи, т.к. они имеются, правда в разрешении 48х48 пикселей. Дальнейший просмотр указывает на то, что после установки приложение говорит "Ошибка установки 24" и якобы больше ничего. Но это не так. Внутри apk есть скомпилированный под dalvik файл -  classes.dex, в котором должно быть самое интересное. Гуглим "dex decompiler online", первому же сайту скармливаем apk и получаем архив с исходным кодом. Разве что без коментариев.

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

И таки да, оно под видом Play Market запрашивает данные карты:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Но ведь оно должно их куда-то отправлять. Начинаем ковыряться в джаве. Внутри находим валидатор данных карты. А попутно находим класс обратной связи. Т.е. оно не только данные карты ворует, но и умеет принимать команды и как-то на них реагировать. Собственно названия классов отлично говорят о функционале:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

А вот и управляющий сервер:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Ну а тут видно как "бот" регистрируется на управляющем сайте:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Внутри оказывается ещё довольно много интересного. Особенно интересно, что данный вирус/бот общается на русском с управляющим сервером. Внутри сообщения все на русском и расчитан он ра русскоязычных пользователей. Вообщем суть преступления ясна. Начинаем наказание. Вооружившись whois-сервисом смотрим кто владелец подсети откуда качается apk-файл и куда писать абузу?

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Аналогичным способом смотрим владельцев управляющего сервера:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Пишем письма на оба ящика. Описываем ситуацию, прикладываем скриншоты и ждём...

За пару часов оба хостера отписались "Спасибо за содействие, сайт/учётка заблокированы".


P.S: Оба хостера из Питера, что наводит на мысли о том, что автор вируса/бота от туда же. Ну или это просто совпадение.

Найдены возможные дубликаты

+125

"dojki.jpg" :D

раскрыть ветку 10
+185

Да, это должно было замедлить разбор вируса, но не прокатило.

раскрыть ветку 8
0

дальше не смог прочитать

+226

вирусы для андроид:


вирус: пожалуйста, скачайте меня!

система: установка из недоверенных источников заблокирована, изменить параметры можно в настройках.

// пользователь меняет настройки


вирус: пожалуйста, установи меня

система: вы уверены, что хотите установить неподписанный apk? это может быть вирус!

// пользователь устанавливает вирус


вирус: дай мне разрешение на рассылку смс и телефонные звонки, а также доступ к адресной книге

система: доступ заблокирован, необходимо подтверждение пользвоателя! это может привести к списанию средств.

// пользователь дает доступ


вирус: пожалуйста, установи меня администратором устройства!

система: установка администратора устройств заблокирована, необходимо подтверждение. ВНИМАНИЕ! не устанавливайте администратором устройства приложения, полученные из недоверенных источников!! это может быть вирус!!

// пользователь устанавливает вирус администратором устройтсва.


вирус: ха-ха! я завладел твоим смартфоном, списал деньги с карты сбербанка и отправил себя всем твоим контактам!!!

пользователь: ну надо же! как же это произошло?!!!!!!!!!!!!!

раскрыть ветку 36
+56
Весь смысл вирусов на андроид. Потому я и считаю что антивирусы не нужны, а самих вирусов нет - есть только безмозглые люди.
раскрыть ветку 30
+7

Not quite true. За примером далеко ходить не буду, расскажу про то, что видел сам: тот же dirtyc0w, который осенью закрывали в ядре линукса, просто немного строк кода на плюсах (подробности в гугле), никаких разрешений не надо (кроме доступа к файлам). Переписывает бинарник с suid битом и после этого по-сути есть рутовый шелл. Дальше, понятное дело, мутить можно что хочешь. А вашим способом только самые простецкие вирусы пользуются=)

раскрыть ветку 2
+1

Жалко, что плюсануть можно только один раз

0
Тот же принцип и на ПК, захожу в систему от имени гостя, а если надо что то поменять то открываю от имени администратора, последний вирус ловил в 2010, нем кто не слышал вирусы ещё существуют?
+237
Уважаемый, тебя мировое сообщество со вчерашнего дня ждёт , шифровальщик аттакэ!!! За работу
раскрыть ветку 53
+169

К сожалению с вирусами под вендами всё несколько сложнее.

раскрыть ветку 42
+1

На время распространение вируса остановили уже. Тупо зарегистрировали домен, на который вирус отправлял запрос, если сервер отвечает, вирус перестает распространятся.

раскрыть ветку 9
+24

На картинке Сharley Atwell, если кому надо

раскрыть ветку 1
+16

Наконец-то хоть какой-то полезный результат этого расследования. А то ТС про какие-то  С&C, сервера, whois пишет, а самого главного и не сказал.

+31

Хост чаще всего используют сбрученый, никто со своих счетов их оплачивать не будет. Вполне эффективно, хоть и на время. Уже отправленные дистрибутивы работать не будут. (ранее отправленные смс с ссылками)

раскрыть ветку 26
+19

Если взять минимальную цену на хостинг + домен в бесплатной зоне .ml - украденные даже 500 рублей вполне перекрывают затраты.

раскрыть ветку 25
+759
Респект за проделанную работу
раскрыть ветку 53
+349

Только тема сисек не раскрыта.

раскрыть ветку 47
+6
А кто нибудь знает, что делать, если мама установила этот АПК?
раскрыть ветку 3
+1

Согласен. Чувак хорош. А я как-то вот знатно удивился, когда мне в 2017 году пришла смс-ка вроде "Мама, я в беде. Пришли денег". Неужели есть ещё те, кто ведётся на это?

+70
Вот он герой нашего времени
раскрыть ветку 1
0

Ну он же не регистрировал на себя домен, без понимая к чему это приведет.

+122
Тоже этот спам приходил. Так смеялся про ммс в 2к17 что аж смузи из руки дропнулся.
раскрыть ветку 20
+79

Я от ужаса схватился за бороду и чуть айфон не уронил

раскрыть ветку 18
-3
В ДваКаСемнадцатом?
+16
обфусцированный classes.dex

После обфускатора (хотя бы штатного ProGuard) названия большинства классов, методов и полей (кроме тех, которые напрямую завязаны на layout) выглядят совсем не так, как на скриншотах.

раскрыть ветку 2
+18

Да, верно. Не обфусцированный, а скомпилированный под dalvik файл.

+1

ну зато разметку можно глянуть.

+7

А в управление "К" ты это отписал? Если автор вируса не сидит, то блокировка его сервака — как пизде дым.

раскрыть ветку 2
0

когда Вас убьют, тогда и приходите

0
Так нету потерпевших.
+7
Пишет Роман, это вaшe? Гoтoвы пoлучить, - http.imgkm.ru/17
Сегодня получил такое СМС. Если с компа зайти, то перекидывает на другой сайт, а если зайти как моб версия (ессесенно с компа), то говорит что есть ММС. Скачал, apk. Все делал как у тебя, только у моего классы по другому назывались. А можешь такой же пост сделать со ссылкой, которую я предоставил? И я не разобрался для чего этот вирус, но были классы типа send_sms
раскрыть ветку 9
+19

Суть таких "вирусов" одинаковая - кража. Личных данных, реквизитов карты или средств. Адрес сайта 155.133.82.186, а дальше он перебрасывает на aol, скрывая себя. IP адрес польский, не уверен, что они оперативно будут реагировать на абузу.

Иллюстрация к комментарию
раскрыть ветку 5
+1
А меня они Сергеем кличут
0

а на компе такое не опасно открывать?

раскрыть ветку 1
+31

молодец что, довёл до конца и сообщил куда надо. Приятно что у нас кроме быдла и ворья есть достойные люди.

раскрыть ветку 4
+8

"кроме быдла и ворья", а вы тогда к какому лагерю относитесь?

раскрыть ветку 3
+4

Фото "доек" похоже вот на эту девушку. татуха может быть подрисована.

А то вирус...код...

Иллюстрация к комментарию
раскрыть ветку 5
+58

Я больше верю гуглу.

Иллюстрация к комментарию
раскрыть ветку 3