Небольшое расследование на тему вирусов для Android

Астрологи объявили неделю вирусов, да и просто так совпало, что мне пришел очередной спам такого содержания:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Разумеется при переходе по ссылке показывается нечто типа "Ваш флеш не фреш! Срочно обновите, а то не покажем MMS". MMS. В 2017 году. Ну да ладно, открываем ссылочку с компа, автоматом закачивается файлик mms.apk. Открывать с телефона мы его конечно же не будем [Дружко.jpg].

Наверное многие знают, что apk-файл - это простой zip архив, который можно распаковать и посмотреть файлики внутри. Ну чтож, для начала сделаем это. Внутри много всего, в том числе есть картиночки.

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Судя по картинкам эта "mms'ка" что-то делает под видом маркета с картами. Возможно даже показывает сиськи, т.к. они имеются, правда в разрешении 48х48 пикселей. Дальнейший просмотр указывает на то, что после установки приложение говорит "Ошибка установки 24" и якобы больше ничего. Но это не так. Внутри apk есть скомпилированный под dalvik файл -  classes.dex, в котором должно быть самое интересное. Гуглим "dex decompiler online", первому же сайту скармливаем apk и получаем архив с исходным кодом. Разве что без коментариев.

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

И таки да, оно под видом Play Market запрашивает данные карты:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Но ведь оно должно их куда-то отправлять. Начинаем ковыряться в джаве. Внутри находим валидатор данных карты. А попутно находим класс обратной связи. Т.е. оно не только данные карты ворует, но и умеет принимать команды и как-то на них реагировать. Собственно названия классов отлично говорят о функционале:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

А вот и управляющий сервер:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Ну а тут видно как "бот" регистрируется на управляющем сайте:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Внутри оказывается ещё довольно много интересного. Особенно интересно, что данный вирус/бот общается на русском с управляющим сервером. Внутри сообщения все на русском и расчитан он ра русскоязычных пользователей. Вообщем суть преступления ясна. Начинаем наказание. Вооружившись whois-сервисом смотрим кто владелец подсети откуда качается apk-файл и куда писать абузу?

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Аналогичным способом смотрим владельцев управляющего сервера:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Пишем письма на оба ящика. Описываем ситуацию, прикладываем скриншоты и ждём...

За пару часов оба хостера отписались "Спасибо за содействие, сайт/учётка заблокированы".


P.S: Оба хостера из Питера, что наводит на мысли о том, что автор вируса/бота от туда же. Ну или это просто совпадение.

355
Автор поста оценил этот комментарий

Только тема сисек не раскрыта.

раскрыть ветку (1)
496
Автор поста оценил этот комментарий

Да, как-то так.

Иллюстрация к комментарию
показать ответы
126
Автор поста оценил этот комментарий

"dojki.jpg" :D

раскрыть ветку (1)
186
Автор поста оценил этот комментарий

Да, это должно было замедлить разбор вируса, но не прокатило.

показать ответы
239
Автор поста оценил этот комментарий
Уважаемый, тебя мировое сообщество со вчерашнего дня ждёт , шифровальщик аттакэ!!! За работу
раскрыть ветку (1)
169
Автор поста оценил этот комментарий

К сожалению с вирусами под вендами всё несколько сложнее.

показать ответы
84
Автор поста оценил этот комментарий

Я от ужаса схватился за бороду и чуть айфон не уронил

раскрыть ветку (1)
95
Автор поста оценил этот комментарий

"Специально для пользователей айфонов у нас есть mms.ipa"

64
Автор поста оценил этот комментарий
@disabler, спасибо за пост! А эта хрень - то же самое делает?? Сергеев не знаю, номер неизвестный.
Иллюстрация к комментарию
раскрыть ветку (1)
73
Автор поста оценил этот комментарий

Очевидно нечто подобное. При открытии с компа перекидывает на google.com. Если открыть с телефона появляется "заглушка" с предложением купить этот домен. Очевидно используется какая-то специфическая старая уязвимость, которой не нравится android 7.1.2.

показать ответы
2
Автор поста оценил этот комментарий
Понял только то что приходит какая то смс и если ее открыть то можно потерять бабки. Так?
раскрыть ветку (1)
35
Автор поста оценил этот комментарий

Нет. Надо:
- Тыкнуть в ссылку
- Скачать apk-файл
- В настройках телефона включить установку левых apk-файлов
- Установить файл
- Запустить
- Разрешить быть администратором устройства
- Радоваться вступлению телефона в скайнет.

показать ответы
4
Автор поста оценил этот комментарий

Фото "доек" похоже вот на эту девушку. татуха может быть подрисована.

А то вирус...код...

Иллюстрация к комментарию
раскрыть ветку (1)
59
Автор поста оценил этот комментарий

Я больше верю гуглу.

Иллюстрация к комментарию
показать ответы
8
Автор поста оценил этот комментарий
Офигеть, только прочитал ваш пост и мне пришла такая бабуйня о_8
Иллюстрация к комментарию
раскрыть ветку (1)
26
Автор поста оценил этот комментарий

По этому адресу редирект на онлайн-казино, которое уже заблокировано.

показать ответы
7
Автор поста оценил этот комментарий
Пишет Роман, это вaшe? Гoтoвы пoлучить, - http.imgkm.ru/17
Сегодня получил такое СМС. Если с компа зайти, то перекидывает на другой сайт, а если зайти как моб версия (ессесенно с компа), то говорит что есть ММС. Скачал, apk. Все делал как у тебя, только у моего классы по другому назывались. А можешь такой же пост сделать со ссылкой, которую я предоставил? И я не разобрался для чего этот вирус, но были классы типа send_sms
раскрыть ветку (1)
19
Автор поста оценил этот комментарий

Суть таких "вирусов" одинаковая - кража. Личных данных, реквизитов карты или средств. Адрес сайта 155.133.82.186, а дальше он перебрасывает на aol, скрывая себя. IP адрес польский, не уверен, что они оперативно будут реагировать на абузу.

Иллюстрация к комментарию
показать ответы
5
Автор поста оценил этот комментарий
ТС ты учился или чисто по фану этим занимаешься?)
раскрыть ветку (1)
18
Автор поста оценил этот комментарий

По фану, но "корочка" программера валяется.

показать ответы
17
Автор поста оценил этот комментарий
обфусцированный classes.dex

После обфускатора (хотя бы штатного ProGuard) названия большинства классов, методов и полей (кроме тех, которые напрямую завязаны на layout) выглядят совсем не так, как на скриншотах.

раскрыть ветку (1)
18
Автор поста оценил этот комментарий

Да, верно. Не обфусцированный, а скомпилированный под dalvik файл.

22
Автор поста оценил этот комментарий

Дело не в затратах, а анонимности.

раскрыть ветку (1)
17
Автор поста оценил этот комментарий

Многие хостеры имеют упрощённую систему регистрации без каких либо личных данных. По крайней мере именно для серверов, а не для доменов.

показать ответы
18
Автор поста оценил этот комментарий
Часть пользователей отваливается на третьем пункте.
раскрыть ветку (1)
15
Автор поста оценил этот комментарий

У многих любителей халявы и альтернативных источников приложений оно включено по умолчанию.

1
Автор поста оценил этот комментарий

корочка у хлебушка, а у тебя диплом/сертификат/свидетельство)

раскрыть ветку (1)
14
Автор поста оценил этот комментарий

А вот и нет. Диплом программера 17ти летней давности - это всего лишь корочка. Ничего, из того, что изучалось не актуально. Ну кроме логики.

показать ответы
61
Автор поста оценил этот комментарий
(.Y.)

Не благодари
раскрыть ветку (1)
76
Автор поста оценил этот комментарий

Это жопа с прыщами?

показать ответы
Автор поста оценил этот комментарий
Уже больше года регулярно приходят ммс с неизвестного номера, не ссылка, а именно ммс, что-то аналогичное?
раскрыть ветку (1)
10
Автор поста оценил этот комментарий

Если это именно MMS - вряд ли внутри что-то опасное. Хотя есть эксплойты, которые используют уязвимости в декодерах видео/картинок. MMS мёртворождённая технология и врядли кто-то будет её использовать для атак.

показать ответы
31
Автор поста оценил этот комментарий

Хост чаще всего используют сбрученый, никто со своих счетов их оплачивать не будет. Вполне эффективно, хоть и на время. Уже отправленные дистрибутивы работать не будут. (ранее отправленные смс с ссылками)

раскрыть ветку (1)
20
Автор поста оценил этот комментарий

Если взять минимальную цену на хостинг + домен в бесплатной зоне .ml - украденные даже 500 рублей вполне перекрывают затраты.

показать ответы
2
Автор поста оценил этот комментарий
Не надо к словам цепляться. Процитированный мной вывод не имеет абсолютно никакого смысла и логического основания, на что я и указал.
раскрыть ветку (1)
18
Автор поста оценил этот комментарий

Цитата не полная. Если процитировать целиком с "... Ну или это просто совпадение." - смысл коммента без коммента теряется.

показать ответы
Автор поста оценил этот комментарий

Это все отлично, но много ли вы анонимных способов пополнить баланс хостеров знаете? (кроме биткоинов, которые запрещены у нас) В РФ с этим вообще все очень строго, проще купить сбрученный аккаунт, чем оплатить свой.

раскрыть ветку (1)
8
Автор поста оценил этот комментарий

Так уж сложилось, что последние 7 лет не пользуюсь услугами Российских хостеров и не могу достоверно сказать про анонимность оплаты, но раньше можно было платить со счёта мобильного, который вполне реально купить "у метро" без документов.

показать ответы
1
Автор поста оценил этот комментарий
А это законно? Может получится так же их наказать?
раскрыть ветку (1)
7
Автор поста оценил этот комментарий

Рассылки вообще не законны. Онлайн казино, на сколько знаю, тоже. Вот только механизмов блокировки нет. Джойказино с их проблемами доступа тому пример.

показать ответы
1
Автор поста оценил этот комментарий
Так ведь можно целый ботнет на мобильных девайсах организовать и творить всякое О.о
раскрыть ветку (1)
5
Автор поста оценил этот комментарий

Да. Такое я увидел впервые и это и стало поводом для поста.

показать ответы
5
Автор поста оценил этот комментарий
"Оба хостера из Питера, что наводит на мысли о том, что автор вируса/бота от туда же."
Просто без комментариев
раскрыть ветку (1)
13
Автор поста оценил этот комментарий

Комментарий "без комментариев". И таки да, люди предпочитают более знакомые и привычные вещи.

показать ответы
1
Автор поста оценил этот комментарий

как хорошо что у меня Mac

раскрыть ветку (1)
9
Автор поста оценил этот комментарий

маки сделаны для тех, у кого маленький член, но не хватает денег на джип?

показать ответы
Автор поста оценил этот комментарий

@disabler, в прокуратуру не напишете на автора зловреда? ведь наверняка у хостера есть его паспортные данные

раскрыть ветку (1)
4
Автор поста оценил этот комментарий

Смутно себе всю эту процедуру представляю. Автора я не знаю, данных у меня нет, ущерба нет.

Автор поста оценил этот комментарий
Такая же херь приходила
Иллюстрация к комментарию
раскрыть ветку (1)
4
Автор поста оценил этот комментарий

Это другая херь. Это редирект на онлайн-казино. Но суть таже - изъятие денег.

показать ответы
Автор поста оценил этот комментарий
Да в том и дело, что именно ммс и с неизвестного номера, поражает регулярность рассылки.
раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Может в ответ написать "ТЫХТОА?" и узнать отправителя, если он один и тот же?

показать ответы
Автор поста оценил этот комментарий

disabler Здравствуйте! У меня есть к вам предложение о сотрудничестве с сайтом androidmir. Моя почта: andromir.org@gmail.com

раскрыть ветку (1)
Автор поста оценил этот комментарий

Спасибо, не интересно, но за предложение - спасибо.