Analyzing a variant of the GM Bot Android malwareSecurity Affairs

Легендарный магазин HappyStuff теперь в телеграамм!

У нас Вы можете приобрести товар по приятным ценам, не жертвуя при этом качеством!

Качественная поддержка 24 часа в сутки!

Мы ответим на любой ваш вопрос и подскажем в выборе товара и района!

Telegram:

(ВНИМАНИЕ!!! В ТЕЛЕГРАМ ЗАХОДИТЬ ТОЛЬКО ПО ССЫЛКЕ, В ПОИСКЕ НАС НЕТ!)

купить кокаин, продам кокс, куплю кокаин, сколько стоит кокаин, кокаин цена в россии, кокаин цена спб, купить где кокаин цена, кокаин цена в москве, вкус кокаин, передозировка кокаин, крэк эффект, действует кокаин, употребление кокаин, последствия употребления кокаина, из чего сделан кокаин, как влияет кокаин, как курить кокаин, кокаин эффект, последствия употребления кокаина, кокаин внутривенно, чистый кокаин, как сделать кокаин, наркотик крэк, как варить крэк, как приготовить кокаин, как готовят кокаин, как правильно нюхать кокаин, из чего делают кокаин, кокаин эффект, кокаин наркотик, кокаин доза, дозировка кокаина, кокаин спб цена, как правильно употреблять кокаин, как проверить качество кокаина, как определить качество кокаина, купить кокаин цена, купить кокаин в москве, кокаин купить цена, продам кокаин, где купить кокс в москве, куплю кокаин, где достать кокс, где можно купить кокаин, купить кокс, где взять кокаин, купить кокаин спб, купить кокаин в москве, кокс и кокаин, как сделать кокаин, как достать кокаин, как правильно нюхать кокаин, кокаин эффект, последствия употребления кокаина, сколько стоит кокаин, крэк наркотик, из чего делают кокаин, из чего делают кокаин, все действие кокаина, дозировка кокаина, употребление кокаина, вред кокаина, действие кокаина на мозг, производство кокаина, купить кокаин в москве, купить кокаин спб, купить кокаин москва, продам кокаин, куплю кокаин, где купить кокаин, где купить кокаин в москве, кокаин купить в москве, кокаин купить москва, кокаин купить спб, купить куст коки, купить кокс в москве, кокс в москве, кокаин москва купить, где можно заказать, купить кокаин, кокаиновый куст купить, стоимость кокаина в москве, кокаин купить цена, продам кокаин, где купить кокс в москве, куплю кокаин, где достать кокс, где можно купить кокаин, купить кокс, где взять кокаин, последствия употребления кокаина

Исследование распространенной малвари под Android Реверс-инжиниринг , Разработка под Android , Информационная безопасность , Java Часто вирусы для android приходят к нам при помощи рассылок. Раньше это были СМС, а теперь еще и современные мессенджеры. Мне было интересно посмотреть, что же сейчас на рынке вредоноса, поэтому зарегистрировалась и подала пару объявлений на avito. Спустя пару дней после публикации мне позвонили из салона красоты Desheli и пригласили на бесплатную процедуру, вроде как подарок от кого-то из друзей. Смысл в том, что после процедуры они крайне настойчиво уговаривают взять кредит на их косметику. Тема старая, избитая, но все еще работает. А после позвонили еще из чего-то подобного, только тут уже честно сказали, что база номеров набирается автоматически. Всякий раз, как спрашивала название их конторы, начинался ужасный шум, явно не просто так. То, что номер взяли с avito, было понятно, потому что ко мне обращались по тому имени, что я написала в объявлении. А то, ради чего это все затевалось, пришло только через пару недель. Мне прислали почти подряд 3 смс примерно одинакового содержания. Что примечательно, из 3 ссылок доступна была только одна, при том, что попытка скачать была сразу же после получения смс. Такой размер оказался из-за библиотеки android. Отчет virustotal Судя по количеству детектов, сомнений быть не может — это зловред, еще и не обфусцированный Начнем с AndroidManifest. После детального осмотра кода выяснилось, что есть еще не используемый запрос android. Скорее всего, из кода удаляли лишнее или заготовили и не дописали. Google может разрешать бесплатно загружать или использовать Контент. К бесплатному Контенту применяются те же условия, что и к купленному, кроме положений, связанных с оплатой например, к бесплатному Контенту не применяются положения данных Условий о возврате уплаченной цены. Google может налагать ограничения на ваш доступ к определенному бесплатному Контенту и на его использование вами. Вы уверены, что хотите продолжить? Это последний шанс отговорить пользователя. Дальше видим фейк на Google Play, выполненный в старом дизайне, еще доматериальном. Но оно остается в списке приложений, его даже запустить можно. Подразумевается, что это должно успокоить пользователя. Скорее всего, разработчик не смог вызвать Activity с запросом прав администратора и решил вывести ошибку. К сожалению, автозалива по сбербанку у бота не оказалось, владелец посылает команды руками. Сначала идет запрос на регистрацию бота curl --socks5 На момент, когда начала анализ, было пользователей. Какие-либо иные команды также на ручном управлении. Не поддерживает отправку составных смс — максимальная длина 70 символов русскими буквами. Рассылку по контактам будет делать неудобно. Вот тут вызывается Activity с фейком google play. Команда на вызов фейка мне не пришла, а собрать пустое приложение с xml фейка не получилось. Похоже при декомпиляции поломался. Ничего интересного в нем все равно нет. Провека на валидность по алгоритму Луна, год, etc card. Ожидайте результат на ваш email адрес. Перспективы эволюции жестких дисков: Лично я не считаю это проблемой до тех пор, пока запуск зловредного apk в эмуляторе не будет вредить ПК. На нее и малвари нет. А вообще если бездумно совершать какие-либо действия ничего хорошего не будет, не зависимо от модели телефона. Более половины возможностей не раскрыты. Явно расчет на то, что и этого хватит для рядового пользователя. И это действительно так. ТС, как Вы считаете? Для ответа на этот вопрос надо проанализировать еще десяток apk. Не судить же по одному всех. Если этому боту добавить резет, скрытие себя в списке приложений и автовключение интернета, то этого будет хватать. Тут следовало бы использовать case, но автор не в курсе, как сравнивать строки в JAVA Или он не в курсе, что на Андроид давно уже завезли Java 7, и строки в switch теперь можно использовать. Или же зловред писался пару лет назад, когда можно было использовать только Java 6. Похоже, что устройств, на которых новый switch не заработает, настолько мало, что можно было бы не заморачиваться. Хотя я зловредов не писал, и мотивации создателей не знаю — может быть они как раз озабочены тем, чтобы их код выполнялся на максимальном количестве устройств. Минимальная версия Андроид на нышешний момент, если не ошибаюсь, оценивается 2. Код надо рефакторить и обфусцировать не зависимо от того, когда он был написан. После количество ав детектов будет стремиться к нулю. А вы не думали, что люди, которые пишут такое ПО сознательно допускают такие глупы вещи? По исходному коду можно понять кто писал и на каком уровне. А тут просто смена почерка. Либо это был одноразовый заказ у студента. Кто будет поддерживать малварь, если ее рано или поздно найдут? По исходному коду максимум уровень определить. А вот пол, возраст, локацию, имя не получиться. Предположим, существует разработчик, который пишет вот таких зверей и публикует легальные приложения в google play. Пишет все в едином стиле. Как вы его найдете и докажете, что автор именно он? Можно узнать ресурсы, которыми пользовался программист неопытный , часто люди тупо копируют куски кода. Ресурс — прямая дорога к IP. Опытный программист сможет определить сколько людей работало над проектом один или больше. Но это долго, дорогу, муторно и большая работа специалистов. Это у нас делать ни кто не будет. А доказательная база — работа других органов. Надо сначала найти человека, а потом идет доказательство. Но дальше не пойдет. IP, не известна дата написания бота и время за которое он был написан. Будет огромное количество адресов. Это для вас тупик. И пофиг что их там 10 и больше. Просто тут идет речь о маленьких деньгах, а когда так миллионы утекают — сразу по всем направлениям начинают трясти. Отсюда и попадаются всякие обналичивальщики и другие. На них и выходят по этим мелким зацепкам. Где же я его вам возьму. Остальные были по знакомству и не официально. Они даже не дают информации помогла ли полученная информация или нет. Это всё секрет следствия. А так 1 убийство 2х годовалой давности и какая то крупная кража у коммерческой фирмы точно были раскрыты. Ловить программера им, скорее всего, не очень интересно. А из программера даже весь его гонорар будет много меньше. А вам не приходило в голову, что человек просто всю жизнь писал на С, а тут решил подзаработать на андройде? Он же не на работу устраиваеться, чтобы демонстрировать свои познания Явы. Вот мне пришло drive. Ваша малварь не доступна. Меня больше всего волнует почему Avito не борется с автоматическим парсингом номера, сам столкнулся с такой смс и вирусом по ссылке, потом написал письмо в поддержку, оттуда пришла стандартная отписка ответ поддержки Спасибо за письмо. Avito — один из самых посещаемых сайтов в России. Пользователи размещают свои контактные данные в объявлении для того, чтобы потенциальные покупатели могли оперативно обратиться к владельцу объявления. Когда вы размещаете в объявлении телефон, он становится доступен любому пользователю сайта. К сожалению, не все пользователи сайта используют полученные контактные данные с целью приобретения товара. В сложившейся ситуации мы рекомендуем вам с помощью сервисов вашего мобильного телефона занести в черный список номер, с которого приходит нежелательная рассылка. Обращаем ваше внимание на то, что размещая объявления на нашем сайте, Вы соглашаетесь с пользовательским соглашением, в пункте 4. Ну, вообще, они борются. Во первых, они скрывают телефон. Чтобы его получить нужно покопаться в исходниках страницы, найти как шифруются данные и отправляется запрос на телефон, и в итоге получите картинку, которую еще и разбирать нужно. Но это все сделать для программиста не сложно. Главное, что они делают — это банят особо злостных парсеров по IP, если парсить много и сразу. Причем банят достаточно быстро. Делали одни ребята парсер, так распределяли парсинг по 20 серверам, чтобы не могли уследить, но все равно банили рано или поздно. От бана по ip спасают прокси-сервера на пример, тот же TOR. Забанили — сменил и дальше работай. И это от части говорит о том, что тором активно пользуются вполне возможно, что в том числе и парсеры. Тогда толковых методов получается нет. С одной стороны он должен быть на виду, с другой — прятать от парсеров. Стоит отметить, человеку, который хочет просто позвонить по объявлению, тоже не здорово совершать кучу манипуляций по выуживанию номера. Для начала парсеры нужно задетектить. Как вы отличите бота от человека, если заголовки запроса идентичные? Не у всех он включен или работает не так, как должен Opera Mini. Как вы отличите от человека бота с PhantomJS? А подкладывать ботам фейковые данные — это вообще пушка. Детектить по кол-ву трафика, если трафика не много, то и не заморачиваться. Вопрос только в том, сколько данных и сколько прокси. В целом, мы счас с вами можем решать гипотетические проблемы ещё долго. На пример, купить подписку на списки прокси у поставщиков и преманентно их в бан отправлять. Я слышал про парсеры на андроиде. Мобильный интернет, перед каждый запросом переконект и рандомный динамический ip. Причем тут нет необходимости в андроиде. Можно брать usb-мопед и аналогично делать ему реконнект. Можно даже дергать питание USB скриптом на баше, если уж совсем лень. Ну тогда есть необходимость в компе, который будет занят парсингом. Если для парсинга по этой схеме использовать рабочий комп, то на нем будет постоянно интернет переконекчиваться, ну и к тому же онли мобильный интернет. Во первых, ничего не мешает использовать отдельное интернет соединение для просмотра котяток на ютубе, а модем — пусть дергается. Во вторых — технологий при помощи которых можно написать парсер под linux он подразумевался, когда я говорил про десктоп гораздо больше чем под андроид. Я не очень представляю как настроить 2 различных канала в интернет на линуксе чтоб все ходили через один а нудное приложение через другой, но полагаю что это возможно. Кто то выбрал схему парсер на андроид. Может быть програмист которому поручили задачу, лучше владел андроидом. А может заказчику было удобнее купить смартфон, чем комп под линуксом ставить. История умалчивает, я то просто слышал про людей которые парссят с андроида. Помимо кода, следовало бы и обфусцировать команды. Подкинуло бы геморроя тому, кто реверсит. Заодно это замаскирует следы в плане возможных ошибок в английском и прочее. Использовать Native SDK еще не научились? Или у кого-то есть подобные семплы? А объясните, пожалуйста, человеку слабо разбирающемуся в вопросе, зачем подключена библиотека android. Эта библиотека по-умолчанию подключается при создании проекта. По большей части нужна для красивых интерфейсов. То есть это еще один показатель непрофессионализма авторов? Ведь, получается, в данной малвари не нужна совсем? Сейчас Вчера Неделя Rust vs. Сколько английских слов надо выучить для свободного общения и чтения статей? Интересные публикации Хабрахабр Geektimes. С днём рождения, компьютерная мышка GT. Hands Free, но не телефон. Послушный дом, когда рук не хватает GT. Взаимодействие веб-страницы с Ethereum. Отчет о старте Atos IT Challenge. Недельный спринт, анкета кандидата и картонный мужик. Услуги Реклама Тарифы Контент Семинары.

Analyzing a variant of the GM Bot Android malwareSecurity Affairs

Исходный код банковского трояна для Android утек в сеть

Mobile Malware GM Bot v2 Released, Price Triples