Небольшое расследование на тему вирусов для Android

Астрологи объявили неделю вирусов, да и просто так совпало, что мне пришел очередной спам такого содержания:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Разумеется при переходе по ссылке показывается нечто типа "Ваш флеш не фреш! Срочно обновите, а то не покажем MMS". MMS. В 2017 году. Ну да ладно, открываем ссылочку с компа, автоматом закачивается файлик mms.apk. Открывать с телефона мы его конечно же не будем [Дружко.jpg].

Наверное многие знают, что apk-файл - это простой zip архив, который можно распаковать и посмотреть файлики внутри. Ну чтож, для начала сделаем это. Внутри много всего, в том числе есть картиночки.

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Судя по картинкам эта "mms'ка" что-то делает под видом маркета с картами. Возможно даже показывает сиськи, т.к. они имеются, правда в разрешении 48х48 пикселей. Дальнейший просмотр указывает на то, что после установки приложение говорит "Ошибка установки 24" и якобы больше ничего. Но это не так. Внутри apk есть скомпилированный под dalvik файл -  classes.dex, в котором должно быть самое интересное. Гуглим "dex decompiler online", первому же сайту скармливаем apk и получаем архив с исходным кодом. Разве что без коментариев.

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

И таки да, оно под видом Play Market запрашивает данные карты:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Но ведь оно должно их куда-то отправлять. Начинаем ковыряться в джаве. Внутри находим валидатор данных карты. А попутно находим класс обратной связи. Т.е. оно не только данные карты ворует, но и умеет принимать команды и как-то на них реагировать. Собственно названия классов отлично говорят о функционале:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

А вот и управляющий сервер:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Ну а тут видно как "бот" регистрируется на управляющем сайте:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Внутри оказывается ещё довольно много интересного. Особенно интересно, что данный вирус/бот общается на русском с управляющим сервером. Внутри сообщения все на русском и расчитан он ра русскоязычных пользователей. Вообщем суть преступления ясна. Начинаем наказание. Вооружившись whois-сервисом смотрим кто владелец подсети откуда качается apk-файл и куда писать абузу?

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Аналогичным способом смотрим владельцев управляющего сервера:

Небольшое расследование на тему вирусов для Android Android, Вирус, Botnet, Скандалы интриги расследования, Длиннопост

Пишем письма на оба ящика. Описываем ситуацию, прикладываем скриншоты и ждём...

За пару часов оба хостера отписались "Спасибо за содействие, сайт/учётка заблокированы".


P.S: Оба хостера из Питера, что наводит на мысли о том, что автор вируса/бота от туда же. Ну или это просто совпадение.

Вы смотрите срез комментариев. Показать все
239
Автор поста оценил этот комментарий
Уважаемый, тебя мировое сообщество со вчерашнего дня ждёт , шифровальщик аттакэ!!! За работу
раскрыть ветку (53)
169
Автор поста оценил этот комментарий

К сожалению с вирусами под вендами всё несколько сложнее.

раскрыть ветку (42)
64
Автор поста оценил этот комментарий
@disabler, спасибо за пост! А эта хрень - то же самое делает?? Сергеев не знаю, номер неизвестный.
Иллюстрация к комментарию
раскрыть ветку (31)
73
Автор поста оценил этот комментарий

Очевидно нечто подобное. При открытии с компа перекидывает на google.com. Если открыть с телефона появляется "заглушка" с предложением купить этот домен. Очевидно используется какая-то специфическая старая уязвимость, которой не нравится android 7.1.2.

раскрыть ветку (4)
13
Автор поста оценил этот комментарий
4.2.2. Установил, вот думаю запускать или нет...
Иллюстрация к комментарию
раскрыть ветку (2)
8
Автор поста оценил этот комментарий

Там даже предлагают разрешить установку из неизвестных источников.

раскрыть ветку (1)
6
Автор поста оценил этот комментарий
Установил. Вирус запросился в администраторы и начал отправлять смс, не интересный в общем
8
DELETED
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
30
Автор поста оценил этот комментарий
Как минимум http., а не http/ должно настораживать.
раскрыть ветку (3)
41
Автор поста оценил этот комментарий
Меня вот http/ тоже настораживает.
раскрыть ветку (2)
40
DELETED
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку (1)
69
Автор поста оценил этот комментарий
А я в последнее время даже https:// мало доверяю
14
Автор поста оценил этот комментарий
Вот сегодн такая блевотня по смс прилетела...на iOS
Иллюстрация к комментарию
раскрыть ветку (5)
80
Автор поста оценил этот комментарий

Че ты не ответил? Я жду.

3
Автор поста оценил этот комментарий

После размещения объявлений на a...o подобная хрень стала приходить.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Просто блочь номера через оператора. На МТС на номер 6333 отправлял весь спам. И сейчас его практически нет.

Автор поста оценил этот комментарий

О мне точно такая хрень прилетела

Автор поста оценил этот комментарий
У меня dr. Web на эту хрень ещё на подлёте дробовиком нервно щёлкать начинает.
14
Автор поста оценил этот комментарий
Любая смс со ссылкой делает тоже самое.
6
DELETED
Автор поста оценил этот комментарий

Если интересно, могу скинуть исходники этого вируса, 2-3 дня назад тоже пришла смска такая
Рассчитана на пользователей зеленого банка

Расковырял, посмотрел, стащил для себя функцию шифрования :))

5
Автор поста оценил этот комментарий
Перекидывает на http://5.45.69.199/fid/. Гугл грит, что там вредоносное ПО и не ходи туда вообще. Зашёл, там простенькая страница, по нажатию "Посмотреть" предлагает скачать APK.
Иллюстрация к комментарию
Иллюстрация к комментарию
Иллюстрация к комментарию
раскрыть ветку (1)
8
Автор поста оценил этот комментарий
Иллюстрация к комментарию
2
Автор поста оценил этот комментарий
Мне вчера пришла смс похожего содержания.. Я ещё подумала неужели кто то кликает на ссылку
1
Автор поста оценил этот комментарий
Мне такое каждый день приходит , кстати после того, как я разместила на авито объявление !
Иллюстрация к комментарию
Иллюстрация к комментарию
1
Автор поста оценил этот комментарий
Тоже сегодня получил почти такую же. Только от андрея и урл другой. С мобилки и рабочего компа открывать зассал
1
Автор поста оценил этот комментарий
Хах, мне похожая пришлас только сайт другой и имя. Интересненько :)
1
Автор поста оценил этот комментарий
Может вы на авито есть? Мне на номер ,который только для объяв,приходит подобное
раскрыть ветку (2)
4
DELETED
Автор поста оценил этот комментарий
Тоже после авито
Иллюстрация к комментарию
раскрыть ветку (1)
5
Автор поста оценил этот комментарий
Я не вадим и на авито не регистрировался)
Иллюстрация к комментарию
1
Автор поста оценил этот комментарий
Вчера жене 2 таких сообщения пришло.
раскрыть ветку (3)
15
Автор поста оценил этот комментарий

Как только на авито оставляешь свой номер, на следующий день приходят)

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

мне один раз что-то такое приходило. хотя на авито не зарегистрирована.

Автор поста оценил этот комментарий

мне приходило после регистрации на букинге.

Автор поста оценил этот комментарий
Мне несколько раз подобные смс приходили. Пришлось поставить блок от номеров не из списка.
16
Автор поста оценил этот комментарий

#пилипост
Я бы с удовольствием почитал о том, как ты дошел до жизни такой стал заниматься кибербезопасостью, с чем сталкивался по пути и все в таком духе.

раскрыть ветку (5)
10
Автор поста оценил этот комментарий
Поддерживаю! Всегда было интересно почитать как люди анализируют вредоносные программы, в частности как именно они их декампилируют (правильно написал, я просто не в теме?), как узнают куда высылается какой-либо запрос и куда именно.
раскрыть ветку (4)
4
Автор поста оценил этот комментарий
это может любой программист. никакой кибермагии.
Автор поста оценил этот комментарий
Batchapktool, там многое есть
Автор поста оценил этот комментарий
Чтоб писать вирусы лучше?
Автор поста оценил этот комментарий
Декомпилятор .
4
Автор поста оценил этот комментарий
Ты крутой! 👍
1
Автор поста оценил этот комментарий
Вам падаван не нужен?
Автор поста оценил этот комментарий

@disabler, скажи пожалуйста что делают эти вирусы? Запускал случайно, теперь сыкотно как-то.

https://cloud.mail.ru/public/9xed/h3jGxmcPn

Автор поста оценил этот комментарий
Только если они не на джаве :) Хотя снифером и там можно поймать куда и что шлет. Можно даже ботнет под свои нужды угнать при особом желании :)
4
Автор поста оценил этот комментарий

На время распространение вируса остановили уже. Тупо зарегистрировали домен, на который вирус отправлял запрос, если сервер отвечает, вирус перестает распространятся.

раскрыть ветку (9)
30
Автор поста оценил этот комментарий
Есть мнение, что автор вируса "не ожидал такой шумихи / собрал нужное количество Bitcoin" и сам активировал аварийное отключение. Далее, объявил о том, что он обхитрил дурачка вирусодела (т.е., самого себя) и закрыл источник всех бед.
раскрыть ветку (7)
21
Автор поста оценил этот комментарий
Что значит "нужное количество bitcoin"? Зачем душить курицу, несущую золотые яйца? Чем опасен хайп анонимному создателю вируса?
Кароч, стриг бы до победного.
раскрыть ветку (1)
Автор поста оценил этот комментарий

Стоит знать меру

5
Автор поста оценил этот комментарий

Я не профессионал, но нельзя что ли как-то зарегистрировать домен, чтобы весь мир не спалил твое имя?

раскрыть ветку (4)
1
Автор поста оценил этот комментарий

можно указать васю пупкина из урюпинска и все

раскрыть ветку (3)
2
Автор поста оценил этот комментарий

Ну и смысл тогда светиться через твиттер? Кому надо лишний раз к себе внимание привлекать, когда тебя ищут спец службы разных стран?

раскрыть ветку (2)
1
Автор поста оценил этот комментарий
"Докажи_что_не_Аллах.jpg"

Придётся доказать, что "автор вируса" и "гений, остановивший чуму" - один человек.
Автор поста оценил этот комментарий

ну твит выложил сотрудник отдела безопасности, думаю он знает, как не спалиться

1
Автор поста оценил этот комментарий

набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.

В этом наборе есть опасный инструмент DoublePulsar.

Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar

простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку