Analyzing a variant of the GM Bot Android malwareSecurity Affairs

______________

✅ ️Наши контакты (Telegram):✅ ️

>>>🔥🔥🔥(ЖМИ СЮДА)🔥🔥🔥<<<

✅ ️ ▲ ✅ ▲ ️✅ ▲ ️✅ ▲ ️✅ ▲ ✅ ️

______________

Analyzing a variant of the GM Bot Android malwareSecurity Affairs

Analyzing a variant of the GM Bot Android malware

Analyzing a variant of the GM Bot Android malwareSecurity Affairs

Security Alert: Mazar BOT – the Android Malware That Can Erase Your Phone

Analyzing a variant of the GM Bot Android malwareSecurity Affairs

Годовая подписка на Хакер. Материал адресован специалистам по безопасности и тем, кто собирается ими стать. Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи. Источник эпидемии Кстати, а откуда вообще берется андроид-ориентированная малварь? Наверное, из пиратских программ? С пиратских дискет? С пиратских компакт-дисков? Нет, погоди-ка, ведь сейчас у нас не год, а целый й Ан нет, оказывается, самый популярный репозиторий мобильных приложений, Google Play, серьезно подпортил свою репутацию — в году все самые успешные мобильные трояны и вирусы распространялись через него. Похоже, проблема в слишком богатом выборе для пользователя. На любой запрос найдется несколько десятков приложений, и большинство из них будет мусором. Даже если внимательно изучать описание приложения, до его установки все равно трудно понять, что именно оно делает. Опираться на опыт других пользователей тоже не получается — в Google Play очень много приложений с купленными отзывами. Как ты понимаешь, стоит один раз запустить троян и потом будет очень сложно от него избавиться. А если же у трояна будет еще и полезная нагрузка, то простому пользователю вычислить наличие вредоносного контента практически невозможно. Где я? Эффективность трояна во многом зависит от того, насколько хорошо он умеет адаптироваться под разные устройства. Начинать приходится с малого — определения версии ОС на устройстве жертвы, эта информация есть в классе Build. Но этой информации будет недостаточно, вендоры любят модифицировать прошивку так, что без падений не удается обойтись даже легальным приложениям. Наверняка ты знаком с оболочкой MIUI, которая серьезно поменяла принципы работы ОС, а китайских телефонов сейчас очень много. Больше данных об устройстве доступно из консольной команды getprop. Вызов getprop даст много информации, можно отбросить часть с помощью grep более подробные исходники смотри здесь. Рут открывает не только расширенные возможности для юзера, но и раздолье для трояна. Стратегий определения наличия прав на устройстве много. Самое простое — пройтись по директориям в поисках бинарника su. Вот примерный набор подходящих для него путей:. Наличие его хотя бы в одном месте с высокой вероятностью укажет, что на устройстве доступны права суперпользователя. Если троян сможет внедриться в пространство других приложений, то пользователя спасет только полная переустановка ОС. Root-права позволяют инжектить в системные вызовы, вставляя вредоносный код в самые неожиданные места. Если кратко, то подобные инжекты предоставляют злохакерам самые широкие возможности — от замены ID рекламных баннеров, что позволяет получать деньги за чужой показ рекламы, до модификации системных утилит. Если ты не следишь вплотную за статистикой мира Android, то можешь удивиться: еще в апреле каждое третье Android-устройство работало под операционной системой версии 4. Это старые операционки, для которых уже долгое время в публичном доступе есть множество хакерских утилит. На GitHub давно выложены исходники хорошо написанного трояна GmBot. Он как раз заточен под четвертую версию ОС и умеет практически все: манипулировать персональной информацией, СМС, камерой и прочее. GmBot сделан очень качественно, и неудивительно, что появилась целая плеяда малвари, основанной на выложенном исходном коде. Один из наиболее успешных охотников за старыми устройствами — троян CopyCat. По статистике Check Point, у него 14 миллионов заражений и на восьми миллионах из них получен root-доступ. При этом CopyCat не использовал никаких секретных эксплоитов — сплошной паблик. К примеру, вот один из них на GitHub. Согласно статистике, в этом году наибольший рост показали так называемые Adware — вирусы, зарабатывающие на демонстрации рекламы пользователю. Летом в Google Play была обнаружена корейская малварь Judy: для ее распространения создали более сорока приложений, каждое из которых пользовалось большим успехом — миллионы загрузок и активных пользователей. Приложения действительно работали, это были незатейливые игры, рассчитанные на пользователей школьного возраста. Чтобы не гонять лишний трафик, троян умел находить ссылки на партнерки и переходил только по ним. Сначала Judy получал с управляющего центра ссылку на страницу с рекламой, на которой висели партнерские баннеры, и загружал себе ее контент. На загруженной странице открывались не все ссылки подряд, а только рекламные. Для парсинга строк есть класс Pattern , полностью повторяющий синтаксис регулярных выражений языка Perl. Поначалу это похоже на мешанину, а потом разбираешься и парсинг идет на ура. У партнерки будут какие-то общие признаки — один домен, реферер и так далее. Вот такой регуляркой вытаскиваются все ссылки на поддомены google. Хозяева рекламной площадки не должны знать, что баннеры загружаются в автоматическом режиме, значит, нужно открывать ссылки настоящим браузером. Это несложно, в Android есть класс WebView — полноценный браузер на движке Chrome. Любопытно, что, открывая страницу, малварь мимикрировала под полноценный компьютер — видимо, для таких переходов стоимость клика выше. Мне часто приходится разворачивать свою рабочую среду в частности, Kali Linux на новых м…. А антивирус в Google Play Services был встроен еще во времена Android 4. Play Protect — всего лишь добавленный гуглом интерфейс. Войдите, чтобы ответить. Друзья, Play protect встроен в Chrome и, как настоящий антивирус, сканирует файловую систему. Кроме того игры грузят не dex файлы a apk expansion files — что по большей части является игровым контентом а исполняемым кодом. Это особенность Google Play, кроме него есть и другие магазины, да и установку приложений вручную в своих целях никто не отменял. Чтобы оставить мнение, нужно залогиниться. Xakep Чемоданчик хакера. Укрепляем VeraCrypt. Погружение в AD. Мобильная версия статьи. Содержание статьи Источник эпидемии Где я? Старая уязвимость лучше новых двух Гоним рекламу Банковская тайна Маскировка вредоноса PlayProtect, или костыль от Google Строим прогнозы. С каждым годом пользователям мобильных устройств становится все сложнее избежать заражения. И хотя статистически по сравнению с годом особого роста нет, отчетов о мобильных зловредах стало гораздо больше. Далее по этой теме Ранее по этой теме. Дезинфицируем Android. Малварь для Android за полчаса. Отслеживаем местоположение, читаем SMS, пишем аудио и делаем фото Android принято называть рассадником вирусов и бэкдоров. Каждый день здесь выявляют более …. Пишем майнер на Java. Кодим добытчик криптовалюты Electroneum В наше время каждая бабушка слышала о криптовалютах, курсы майнинга проводят даже серьезны…. Android: взлом с помощью дебаггера, обфускация приложений и асинхронная магия Kotlin Сегодня в выпуске: взлом приложений с нативным кодом с помощью дебаггера, большое исследов…. Android: обзор Android Go, новые механизмы защиты Android P и обратный шелл с помощью Frida Сегодня в выпуске: отличия облегченного Android Go от стандартного Android, новые механизм…. Минутка ненависти Android-разработчика. Разбираем 10 самых частых проблем кодинга Двадцать лет назад использовать Android было невозможно. Десять лет назад было еще рано. Строим мобильное приложение на Firebase — бесплатном и мощном бэкэнде Google Новый сервис Firebase от Google способен покрыть большинство потребностей мобильного разра…. Кодинг для Chromecast. Транслируем видео на телевизор из своего приложения для Android Китайские интернет-магазины предлагают медиаплееры на любой вкус, цвет и конфигурацию за н…. Служба, которая не спит. Фишинг на Android. Разбираем техническую сторону типовых атак Фишинг, или мошенничество с целью кражи данных при помощи копирования внешних образов попу…. Android: Cофт для потрошения APK, гайд по скрытым проблемам Kotlin, новые исследования и полезные библиотеки Мы обновляем нашу рубрику для фанатов Android. Весь июнь мы выбирали интересный гик-софт, …. Рулим дотфайлами. Как быстро повысить комфорт в любом Linux или WSL Мне часто приходится разворачивать свою рабочую среду в частности, Kali Linux на новых м…. Самые популярные вирусные техники года. И толку-то от него Войдите, чтобы ответить. Андрей Пахомов Это особенность Google Play, кроме него есть и другие магазины, да и установку приложений вручную в своих целях никто не отменял Войдите, чтобы ответить. Оставить мнение отменить Чтобы оставить мнение, нужно залогиниться. Последние взломы. Компьютерные трюки. Свежие новости 15 hour назад Torrent Freak: из-за пандемии вырос интерес к пиратским сайтам 18 hour назад Операторы шифровальщика Sodinokibi отказываются от Bitcoin и переходят на Monero 19 hour назад Qrator Labs изучила DDoS-атаки и изменения трафика во время пандемии коронавируса 20 hour назад Голландская полиция закрыла 15 DDoS-сервисов за неделю 21 hour назад В даркнете продают учетные данные пользователей Zoom.

Мефедрон купить Таганрог

Пятигорск Скорость купить

Analyzing a variant of the GM Bot Android malwareSecurity Affairs

Амфетамин в Кемерово

Муром купить закладку Метадона

Купить Амфетамин Орск

Разработана вторая версия Android-трояна GM Bot

Hydra бутират Орша

Купить Каннабис через телеграмм в Тюмени

Analyzing a variant of the GM Bot Android malwareSecurity Affairs

Гидра МЕФ Ханты-Мансийск

Отзывы про МЕФ Псков

Log in , please. How to become an author. NET Knowledge Base. Log in Sign up. Исследование распространенной малвари под Android Information Security , Java , Development for Android , Reverse engineering Часто вирусы для android приходят к нам при помощи рассылок. Раньше это были СМС, а теперь еще и современные мессенджеры. Мне было интересно посмотреть, что же сейчас на рынке вредоноса, поэтому зарегистрировалась и подала пару объявлений на avito. Спустя пару дней после публикации мне позвонили из салона красоты Desheli и пригласили на бесплатную процедуру, вроде как подарок от кого-то из друзей. Смысл в том, что после процедуры они крайне настойчиво уговаривают взять кредит на их косметику. Тема старая, избитая, но все еще работает. А после позвонили еще из чего-то подобного, только тут уже честно сказали, что база номеров набирается автоматически. Всякий раз, как спрашивала название их конторы, начинался ужасный шум, явно не просто так. То, что номер взяли с avito, было понятно, потому что ко мне обращались по тому имени, что я написала в объявлении. А то, ради чего это все затевалось, пришло только через пару недель. Мне прислали почти подряд 3 смс примерно одинакового содержания. Что примечательно, из 3 ссылок доступна была только одна, при том, что попытка скачать была сразу же после получения смс. Скаченный avito. Это много. Такой размер оказался из-за библиотеки android. Отчет virustotal Судя по количеству детектов, сомнений быть не может — это зловред, еще и не обфусцированный Начнем с AndroidManifest. После детального осмотра кода выяснилось, что есть еще не используемый запрос android. Скорее всего, из кода удаляли лишнее или заготовили и не дописали. Бесплатный Контент. Google может разрешать бесплатно загружать или использовать Контент. К бесплатному Контенту применяются те же условия, что и к купленному, кроме положений, связанных с оплатой например, к бесплатному Контенту не применяются положения данных Условий о возврате уплаченной цены. Google может налагать ограничения на ваш доступ к определенному бесплатному Контенту и на его использование вами. Вы уверены, что хотите продолжить? Это последний шанс отговорить пользователя. Дальше видим фейк на Google Play, выполненный в старом дизайне, еще доматериальном. Но оно остается в списке приложений, его даже запустить можно. Подразумевается, что это должно успокоить пользователя. Скорее всего, разработчик не смог вызвать Activity с запросом прав администратора и решил вывести ошибку. К сожалению, автозалива по сбербанку у бота не оказалось, владелец посылает команды руками. Сначала идет запрос на регистрацию бота curl --socks5 На момент, когда начала анализ, было пользователей. Какие-либо иные команды также на ручном управлении. Получение команды. Не поддерживает отправку составных смс — максимальная длина 70 символов русскими буквами. Рассылку по контактам будет делать неудобно. Вот тут вызывается Activity с фейком google play. Команда на вызов фейка мне не пришла, а собрать пустое приложение с xml фейка не получилось. Похоже при декомпиляции поломался. Ничего интересного в нем все равно нет. Провека на валидность по алгоритму Луна, год, etc card. Ожидайте результат на ваш email адрес. Specify the reason of the downvote so the author could improve the post. Popular right now. Audio over Bluetooth: most detailed information about profiles, codecs, and devices Blog mentioned only Orphographic mistakes Punctuation mistakes Indents Text without paragraphs Too short sentences Usage of emojis Too much formatting Pictures Links Оформление кода Рекламный характер. Payment system. Similar posts. Делаем выводы. Лично я не считаю это проблемой до тех пор, пока запуск зловредного apk в эмуляторе не будет вредить ПК. Irenica January 31, at PM 0. На нее и малвари нет. А вообще если бездумно совершать какие-либо действия ничего хорошего не будет, не зависимо от модели телефона. История мошенника-неудачника. Более половины возможностей не раскрыты. Явно расчет на то, что и этого хватит для рядового пользователя. И это действительно так. ТС, как Вы считаете? Irenica January 30, at PM 0. Для ответа на этот вопрос надо проанализировать еще десяток apk. Не судить же по одному всех. Если этому боту добавить резет, скрытие себя в списке приложений и автовключение интернета, то этого будет хватать. Тут следовало бы использовать case, но автор не в курсе, как сравнивать строки в JAVA Или он не в курсе, что на Андроид давно уже завезли Java 7, и строки в switch теперь можно использовать. Или же зловред писался пару лет назад, когда можно было использовать только Java 6. Похоже, что устройств, на которых новый switch не заработает, настолько мало, что можно было бы не заморачиваться. Хотя я зловредов не писал, и мотивации создателей не знаю — может быть они как раз озабочены тем, чтобы их код выполнялся на максимальном количестве устройств. Минимальная версия Андроид на нышешний момент, если не ошибаюсь, оценивается 2. Irenica February 1, at PM 0. Код надо рефакторить и обфусцировать не зависимо от того, когда он был написан. После количество ав детектов будет стремиться к нулю. Не удержался. Calc January 30, at PM 0. А вы не думали, что люди, которые пишут такое ПО сознательно допускают такие глупы вещи? По исходному коду можно понять кто писал и на каком уровне. А тут просто смена почерка. Либо это был одноразовый заказ у студента. Кто будет поддерживать малварь, если ее рано или поздно найдут? Намеренные ошибки исключены. Это не опытность. По исходному коду максимум уровень определить. А вот пол, возраст, локацию, имя не получиться. Предположим, существует разработчик, который пишет вот таких зверей и публикует легальные приложения в google play. Пишет все в едином стиле. Как вы его найдете и докажете, что автор именно он? Можно узнать ресурсы, которыми пользовался программист неопытный , часто люди тупо копируют куски кода. Ресурс — прямая дорога к IP. Опытный программист сможет определить сколько людей работало над проектом один или больше. Но это долго, дорогу, муторно и большая работа специалистов. Это у нас делать ни кто не будет. А доказательная база — работа других органов. Надо сначала найти человека, а потом идет доказательство. Но дальше не пойдет. IP, не известна дата написания бота и время за которое он был написан. Будет огромное количество адресов. Это тупик. Это для вас тупик. И пофиг что их там 10 и больше. Просто тут идет речь о маленьких деньгах, а когда так миллионы утекают — сразу по всем направлениям начинают трясти. Отсюда и попадаются всякие обналичивальщики и другие. На них и выходят по этим мелким зацепкам. Где же я его вам возьму. Остальные были по знакомству и не официально. Они даже не дают информации помогла ли полученная информация или нет. Это всё секрет следствия. А так 1 убийство 2х годовалой давности и какая то крупная кража у коммерческой фирмы точно были раскрыты. Ловить программера им, скорее всего, не очень интересно. А из программера даже весь его гонорар будет много меньше. А вам не приходило в голову, что человек просто всю жизнь писал на С, а тут решил подзаработать на андройде? Он же не на работу устраиваеться, чтобы демонстрировать свои познания Явы. Вот мне пришло drive. Ваша малварь не доступна. Irenica January 31, at AM 0. Меня больше всего волнует почему Avito не борется с автоматическим парсингом номера, сам столкнулся с такой смс и вирусом по ссылке, потом написал письмо в поддержку, оттуда пришла стандартная отписка ответ поддержки Спасибо за письмо. Avito — один из самых посещаемых сайтов в России. Пользователи размещают свои контактные данные в объявлении для того, чтобы потенциальные покупатели могли оперативно обратиться к владельцу объявления. Когда вы размещаете в объявлении телефон, он становится доступен любому пользователю сайта. К сожалению, не все пользователи сайта используют полученные контактные данные с целью приобретения товара. В сложившейся ситуации мы рекомендуем вам с помощью сервисов вашего мобильного телефона занести в черный список номер, с которого приходит нежелательная рассылка. Обращаем ваше внимание на то, что размещая объявления на нашем сайте, Вы соглашаетесь с пользовательским соглашением, в пункте 4. UFO just landed and posted this here. Тогда толковых методов получается нет. С одной стороны он должен быть на виду, с другой — прятать от парсеров. Стоит отметить, человеку, который хочет просто позвонить по объявлению, тоже не здорово совершать кучу манипуляций по выуживанию номера. Для начала парсеры нужно задетектить. Как вы отличите бота от человека, если заголовки запроса идентичные? Не у всех он включен или работает не так, как должен Opera Mini. Hard mode: Как вы отличите от человека бота с PhantomJS? А подкладывать ботам фейковые данные — это вообще пушка. Mitch February 1, at AM 0. Я слышал про парсеры на андроиде. Мобильный интернет, перед каждый запросом переконект и рандомный динамический ip. Причем тут нет необходимости в андроиде. Можно брать usb-мопед и аналогично делать ему реконнект. Можно даже дергать питание USB скриптом на баше, если уж совсем лень. Mitch February 1, at PM 0. Ну тогда есть необходимость в компе, который будет занят парсингом. Если для парсинга по этой схеме использовать рабочий комп, то на нем будет постоянно интернет переконекчиваться, ну и к тому же онли мобильный интернет. Во первых, ничего не мешает использовать отдельное интернет соединение для просмотра котяток на ютубе, а модем — пусть дергается. Во вторых — технологий при помощи которых можно написать парсер под linux он подразумевался, когда я говорил про десктоп гораздо больше чем под андроид. Я не очень представляю как настроить 2 различных канала в интернет на линуксе чтоб все ходили через один а нудное приложение через другой, но полагаю что это возможно. Кто то выбрал схему парсер на андроид. Может быть програмист которому поручили задачу, лучше владел андроидом. А может заказчику было удобнее купить смартфон, чем комп под линуксом ставить. История умалчивает, я то просто слышал про людей которые парссят с андроида. Помимо кода, следовало бы и обфусцировать команды. Подкинуло бы геморроя тому, кто реверсит. Заодно это замаскирует следы в плане возможных ошибок в английском и прочее. DVamp1r3 January 31, at PM 0. Использовать Native SDK еще не научились? Или у кого-то есть подобные семплы? Fly July 21, at AM 0. Интересный обзор, спасибо. А объясните, пожалуйста, человеку слабо разбирающемуся в вопросе, зачем подключена библиотека android. Irenica July 26, at PM 0. Эта библиотека по-умолчанию подключается при создании проекта. По большей части нужна для красивых интерфейсов. Fly July 26, at PM 0. То есть это еще один показатель непрофессионализма авторов? Ведь, получается, в данной малвари не нужна совсем? Top discussions. Deploying Tarantool Cartridge applications with zero effort Part 2 0. Top posts. Your account Log in Sign up. Language settings. Mobile version. Interface Русский. Save settings.

Analyzing a variant of the GM Bot Android malwareSecurity Affairs

Майкоп купить закладку Анаши, плана, гаша

Сколькко стоит Мет, метамфа в Ургенче

Купить марки LSD-25 Ницца