Небольшое расследование на тему вирусов для Android

Астрологи объявили неделю вирусов, да и просто так совпало, что мне пришел очередной спам такого содержания:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Разумеется при переходе по ссылке показывается нечто типа "Ваш флеш не фреш! Срочно обновите, а то не покажем MMS". MMS. В 2017 году. Ну да ладно, открываем ссылочку с компа, автоматом закачивается файлик mms.apk. Открывать с телефона мы его конечно же не будем [Дружко.jpg].

Наверное многие знают, что apk-файл - это простой zip архив, который можно распаковать и посмотреть файлики внутри. Ну чтож, для начала сделаем это. Внутри много всего, в том числе есть картиночки.

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Судя по картинкам эта "mms'ка" что-то делает под видом маркета с картами. Возможно даже показывает сиськи, т.к. они имеются, правда в разрешении 48х48 пикселей. Дальнейший просмотр указывает на то, что после установки приложение говорит "Ошибка установки 24" и якобы больше ничего. Но это не так. Внутри apk есть скомпилированный под dalvik файл -  classes.dex, в котором должно быть самое интересное. Гуглим "dex decompiler online", первому же сайту скармливаем apk и получаем архив с исходным кодом. Разве что без коментариев.

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

И таки да, оно под видом Play Market запрашивает данные карты:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Но ведь оно должно их куда-то отправлять. Начинаем ковыряться в джаве. Внутри находим валидатор данных карты. А попутно находим класс обратной связи. Т.е. оно не только данные карты ворует, но и умеет принимать команды и как-то на них реагировать. Собственно названия классов отлично говорят о функционале:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

А вот и управляющий сервер:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Ну а тут видно как "бот" регистрируется на управляющем сайте:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Внутри оказывается ещё довольно много интересного. Особенно интересно, что данный вирус/бот общается на русском с управляющим сервером. Внутри сообщения все на русском и расчитан он ра русскоязычных пользователей. Вообщем суть преступления ясна. Начинаем наказание. Вооружившись whois-сервисом смотрим кто владелец подсети откуда качается apk-файл и куда писать абузу?

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Аналогичным способом смотрим владельцев управляющего сервера:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Пишем письма на оба ящика. Описываем ситуацию, прикладываем скриншоты и ждём...

За пару часов оба хостера отписались "Спасибо за содействие, сайт/учётка заблокированы".


P.S: Оба хостера из Питера, что наводит на мысли о том, что автор вируса/бота от туда же. Ну или это просто совпадение.

Вы смотрите срез комментариев. Показать все
140
Автор поста оценил этот комментарий
Тоже этот спам приходил. Так смеялся про ммс в 2к17 что аж смузи из руки дропнулся.
раскрыть ветку (20)
84
Автор поста оценил этот комментарий

Я от ужаса схватился за бороду и чуть айфон не уронил

раскрыть ветку (18)
95
Автор поста оценил этот комментарий

"Специально для пользователей айфонов у нас есть mms.ipa"

6
Автор поста оценил этот комментарий

Я маффином чуть не подавился

раскрыть ветку (16)
52
Автор поста оценил этот комментарий
А я членом
раскрыть ветку (14)
26
Автор поста оценил этот комментарий

Не ожидал от себя, что удивлюсь факту, что ответ был оставлен пикабушницей, а не пикабушником.

раскрыть ветку (10)
22
Автор поста оценил этот комментарий

Правило №6: There are no girls on the Internet.
+ У него посты от мужского лица. Внимательней будь, блять!

раскрыть ветку (9)
23
Автор поста оценил этот комментарий

Фак, я подрочил уже

6
Автор поста оценил этот комментарий
Иллюстрация к комментарию
Автор поста оценил этот комментарий

Откуда правила? Нужно другу

раскрыть ветку (6)
раскрыть ветку (5)
1
Автор поста оценил этот комментарий
Ну нахуя ( ебаный лурк заставил прочитать про викиликс и атаки анонимусов
раскрыть ветку (1)
Автор поста оценил этот комментарий

@moclerator, оскорбление лурка

1
Автор поста оценил этот комментарий

вообще-то 6 правило гласит что анон может быть ужасным, бездушным монстром

раскрыть ветку (2)
2
Автор поста оценил этот комментарий

Ну а какие ко мне претензии, если @crixitocin не отличает 6 и 16?

Автор поста оценил этот комментарий

Откуда ты такой зануда взялся-то, а?

8
Автор поста оценил этот комментарий
Так и запишем!
Иллюстрация к комментарию
раскрыть ветку (1)
Автор поста оценил этот комментарий
телефончик бы :)
Автор поста оценил этот комментарий
49.5?
Автор поста оценил этот комментарий

А я с хаверборда упал и свитшот ободрал

2
Автор поста оценил этот комментарий
В ДваКаСемнадцатом?
Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку