4622

Небольшое расследование на тему вирусов для Android

Астрологи объявили неделю вирусов, да и просто так совпало, что мне пришел очередной спам такого содержания:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Разумеется при переходе по ссылке показывается нечто типа "Ваш флеш не фреш! Срочно обновите, а то не покажем MMS". MMS. В 2017 году. Ну да ладно, открываем ссылочку с компа, автоматом закачивается файлик mms.apk. Открывать с телефона мы его конечно же не будем [Дружко.jpg].

Наверное многие знают, что apk-файл - это простой zip архив, который можно распаковать и посмотреть файлики внутри. Ну чтож, для начала сделаем это. Внутри много всего, в том числе есть картиночки.

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Судя по картинкам эта "mms'ка" что-то делает под видом маркета с картами. Возможно даже показывает сиськи, т.к. они имеются, правда в разрешении 48х48 пикселей. Дальнейший просмотр указывает на то, что после установки приложение говорит "Ошибка установки 24" и якобы больше ничего. Но это не так. Внутри apk есть скомпилированный под dalvik файл -  classes.dex, в котором должно быть самое интересное. Гуглим "dex decompiler online", первому же сайту скармливаем apk и получаем архив с исходным кодом. Разве что без коментариев.

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

И таки да, оно под видом Play Market запрашивает данные карты:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Но ведь оно должно их куда-то отправлять. Начинаем ковыряться в джаве. Внутри находим валидатор данных карты. А попутно находим класс обратной связи. Т.е. оно не только данные карты ворует, но и умеет принимать команды и как-то на них реагировать. Собственно названия классов отлично говорят о функционале:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

А вот и управляющий сервер:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Ну а тут видно как "бот" регистрируется на управляющем сайте:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Внутри оказывается ещё довольно много интересного. Особенно интересно, что данный вирус/бот общается на русском с управляющим сервером. Внутри сообщения все на русском и расчитан он ра русскоязычных пользователей. Вообщем суть преступления ясна. Начинаем наказание. Вооружившись whois-сервисом смотрим кто владелец подсети откуда качается apk-файл и куда писать абузу?

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Аналогичным способом смотрим владельцев управляющего сервера:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Пишем письма на оба ящика. Описываем ситуацию, прикладываем скриншоты и ждём...

За пару часов оба хостера отписались "Спасибо за содействие, сайт/учётка заблокированы".


P.S: Оба хостера из Питера, что наводит на мысли о том, что автор вируса/бота от туда же. Ну или это просто совпадение.

Найдены возможные дубликаты

Вы смотрите срез комментариев. Показать все
+237
Уважаемый, тебя мировое сообщество со вчерашнего дня ждёт , шифровальщик аттакэ!!! За работу
раскрыть ветку 53
+169

К сожалению с вирусами под вендами всё несколько сложнее.

раскрыть ветку 42
+62
@disabler, спасибо за пост! А эта хрень - то же самое делает?? Сергеев не знаю, номер неизвестный.
Иллюстрация к комментарию
раскрыть ветку 31
+14

#пилипост
Я бы с удовольствием почитал о том, как ты дошел до жизни такой стал заниматься кибербезопасостью, с чем сталкивался по пути и все в таком духе.

раскрыть ветку 5
+3
Ты крутой! 👍
+1
Вам падаван не нужен?
0

@disabler, скажи пожалуйста что делают эти вирусы? Запускал случайно, теперь сыкотно как-то.

https://cloud.mail.ru/public/9xed/h3jGxmcPn

0
Только если они не на джаве :) Хотя снифером и там можно поймать куда и что шлет. Можно даже ботнет под свои нужды угнать при особом желании :)
+1

На время распространение вируса остановили уже. Тупо зарегистрировали домен, на который вирус отправлял запрос, если сервер отвечает, вирус перестает распространятся.

раскрыть ветку 9
+26
Есть мнение, что автор вируса "не ожидал такой шумихи / собрал нужное количество Bitcoin" и сам активировал аварийное отключение. Далее, объявил о том, что он обхитрил дурачка вирусодела (т.е., самого себя) и закрыл источник всех бед.
раскрыть ветку 7
0

набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.

В этом наборе есть опасный инструмент DoublePulsar.

Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar

простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку
Похожие посты
1339

Полмиллиона пользователей Android скачали опасный вирус

Полмиллиона пользователей Android скачали опасный вирус Android, Вирус

Эксперты в области кибербезопасности обнаружили в магазине Google Play 13 поддельных приложений, замаскированных под оригинальные программы. В общей сложности их скачали более 560 тысяч раз, пишет сотрудник компании ESET Лукас Стефанко (Lukas Stefanko) в своем Twitter.


Все вредоносные приложения-игры были опубликованы в магазине от имени разработчика Luis O Pinto. Сразу после установки программы удаляли свою иконку с экрана и запускали загрузку другого приложения в фоновом режиме.


Вторая программа, в свою очередь, маскировалась под сервис Game Center, который сразу же запрашивал разрешение на полный доступ к сети и автозапуску при включении смартфона. После одобрения пользователя троян начинал крутить рекламу на экране каждый раз, когда владелец телефона разблокировал его.


Журналисты The Bleeping Computer отметили, что модераторы Google Play не удалили приложения даже после того, как зараженные пользователи оставили множество отзывов о поддельном ПО. Ситуация изменилась лишь после того, как эксперты обнародовали информацию о вредоносных программах.

3346

Как «заразить» Android смартфон вредоносным ПО

Телефон принесли в сервис, уже наверное, третий за неделю с вирусом, который рассылается через смс с другого заражённого устройства, при этом также списываются деньги с карт. Удалив вредоносное приложение через безопасный режим, решил повторить те действия которые необходимо выполнить, что бы «заразить» устройство. У меня просто нет слов…

270

Отключайте Bluetooth, или же уязвимость "BlueBorne"

Всем привет. Наверняка, в вашем телефоне/компьютере/планшете и т.д. есть Bluetooth. Оказывается, если вы его не отключаете в публичных местах это может повлечь за собой серьезные последствия. Например, над вашим телефоном будет полностью перехвачен контроль, а вы и не заметите.

Отключайте Bluetooth, или же уязвимость "BlueBorne" Вирус, Bluetooth, Android, Windows, Linux, Уязвимость, Привет читающим теги

Сначала, злоумышленник смотрит, какие есть устройства со включенным Bluetooth поблизости. Допустим, он нашел ваш телефон. Определяет MAC-адрес и операционную систему, которую вы используете. Далее, он уже может делать все что угодно, лучше всего показывает эту уязвимость данный ролик: https://www.youtube.com/watch?v=Az-l90RCns8 (Пикабу запрещает мне публиковать видео прямо в посте :( )


Из этого всего можно сделать вывод, то что даже если вы используете антивирус, не подключаетесь к публичным Wi-Fi сетям, но забыли выключить Bluetooth, то любой предприимчивый хакер может перехватить контроль над вашим банковским приложением через Bluetooth.


Отключайте Bluetooth, товарищи пикабушники.

76

И снова всплывающая реклама на Android. STS

Прошлым утром я проснулся не от будильника, а от внезапно заигравшей видеорекламы на телефоне. Рекламные баннеры появлялись тоже где угодно, даже во время звонка! Вроде и прошивка официальная, обновляется по воздуху регулярно, и приложения все установлены проверенные и антивирус есть. В общем, начал копать. С помощью приложения Airpush Detector(не сочтите за рекламу) я увидел вот это:

И снова всплывающая реклама на Android. STS Sts, Applovin, Android, Реклама, Вирус

Гугл ничего вразумительного  на sts ad framework applovin не показал, пришлось действовать по наитию. К слову, на моем телефоне не установлен root, вероятно поэтому прямо из airpush detector'a удалить тапом по экрану зловреда не удалось.

Решилось все проще, скачал ES Проводник(опять же, не реклама), и через поиск в правом верхнем углу экрана по запросу STS нашлась некая папка com.fly.sts . В ней содержались некоторые файлы, js скрипты, рекламные баннеры в виде картинок и даже .mp4 видео! 25 Мегабайт радости. Легким движением руки удаляем всю папку и перезагружаем телефон. Вуаля, рекламы нет.

Вопрос откуда это взялось, почему не нашлось ни одним антивирусом остается открытым. За последние месяца 3 ничего нового на телефон не ставилось. Более того, мои знакомые репортуют о подобной проблеме в течении последних пары дней. Вероятно кому то будет полезно.

Говорят тут любят котиков.

И снова всплывающая реклама на Android. STS Sts, Applovin, Android, Реклама, Вирус
106

Исходные коды вируса-шифровальщика SLocker для Android .

Вымогатель SLocker, также известный как Simple Locker, является одним из наиболее известных и старейших шифровальщиков для Android. Именно он устроил настоящую эпидемию летом 2016 года, а в мае 2017 года исследователи обнаружили более 400 новых образцов вируса. Спустя еще месяц, в июне 2017 года, специалисты Trend Micro заметили, что вымогатель начал копировать GUI нашумевшего шифровальщика WannaCry.

Исходные коды вируса-шифровальщика SLocker для Android . Вирус, Шифровальщик, Исходный код, Android, Slocker, Безопасность
SLocker – один из немногих мобильных вымогателей, который действительно шифрует данные жертв, а не просто запугивает пострадавших, блокируя экран устройства. SLocker использует алгоритм AES, шифрует все данные на устройстве, а потом блокирует жертве доступ к каким-либо функциям девайса и требует выкуп. Для связи с командными серверами вирус использует Tor, в результате чего отследить «источник» практически невозможно.
Исходные коды вируса-шифровальщика SLocker для Android . Вирус, Шифровальщик, Исходный код, Android, Slocker, Безопасность

Для ознакомления!

Исходный код вируса SLocker (опубликовал fs0c1ety):

https://github.com/fs0c1ety/SLocker

Пользователям Android рекомендуется удвоить бдительность и помнить о простейших правилах безопасности:

-не открывать почтовые вложения, полученные из неизвестных источников;

-не нажимать на ссылки, полученные в SMS- и MMS-сообщениях;

-отключить в настройках безопасности Android установку приложений не из Google Play;

-своевременно обновлять ОС и приложения;

-не подключаться к незащищенным и непроверенным публичным сетям Wi-Fi, и вообще отключать Wi-Fi если он не используется.

Показать полностью 1
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: