Pull to refresh

Comments 85

Продавал картридж на nintendo 3DS Monster Hunter4, за пару дней мне всю личку заспамили, о том что я выиграл приз или денежное вознаграждение и мне нужно всего лишь перейти по ссылке для его получения. Переходить не стал так как итак понятно что там, так как у меня Линукс и они не смогут заразить мой компьютер и так как мне жалко своего времени и лень.
так как у меня Линукс и они не смогут заразить мой компьютер
Почему? Смогут, если запустите)
эта статья про Android, который вроде как Линукс
То есть Wine для запуска вирусов, написанных для Windows, Вы использовать не захотели? )))
Я целый месяц пытался запускать всё, что clamav в почте отмечал как вирусы, увы шли всякие vbs-ки и парочка pdf, попался ещё .scr, но он захотел каких-то библиотек, которых у меня в wine небыло, и не запустился.
Что случилось с Хабром? Одна обезьяна поставила минус не прочитав комментарии и тут же другие макаки подоспели.
так как у меня Линукс и они не смогут заразить мой компьютер

Скорее прочли и увидели это.
Много ли еще людей думают что на линуксе нет вирусов?
А разве я говорил что на линук нет вирусов? Я знаю что есть, просто заразится в разы сложнее, а если ты опытный пользоватей то практически невозможно, так как чтобы запустить какой нибудь вирус внедренный в exe файл нужно настроить правильно Wine скачать нужные библиотеки и он все равно будет влиять только на переменную среду Wine.
UFO just landed and posted this here
>если ты опытный пользователей.
опытный, ага:
— Всегда использовать антивирус? «на время установки отключите ваше антивирусное ПО это гарантирует нормальную установку» — почти во всех приложениях страны…

— Чё просто не давать програмам права админа?
Пример игра ragnarok: «приложению для запуска нужны права администратора. Иначе играть не получится ». — это слова администрации… Им начхать на то заботимся мы о безопасности или нет.

— Запускать программы в виртуалке? А если программа и есть виртуалка? например BlueStacks: «наличие gmail аккаунта необходимо для использования нашей платформы и сервисов Google». И их не волнует что именно так данные и утекают.

— использовать песочницы?
Ну так я использовал когда запустил psiphon. Которая умудрилась подменить мне прокси даже будучи запущенной из под sandboxie. (она конечно и должна была подменить прокси, но как то это напрягает её эта особенность обходить песочницу...)

Не устанавливать левый софт? Что на windows, что на linux — большинство программ просит права админа и выполняет произвольный код при установки и не выпускается в портабельном виде… Это как бы стандарт. Что есть лево, а что право когда и те и другие в конечном счёте в виде «последней точно работающей версии» лежат всё равно не в репозитории производителя ОС?

Запускать только портабельные версии программ? А таких нет на моём ранее любимом трекере — потому что там новое правило: «без установщика релизы не выкладываются».
Да и запуск програм в принципе без прав админа фактически разрешает программе стырить все пороли со всех браузеров и зашифровать все папки до которых дотянется…

— перед запуском проверять программы на virustotal: ну конечно же кряк который вы хотите запустить будет определятся как вредоносный, это же нелегальная программа. А майнер который запишется в скрытом режиме — конечно же не вредоносный, даже в открытом виде. Майл.ру браузер не вирус я гарантирую это. Ага…

Проблема которую поднимает автор скорее даже не про защищённость систем, а скорее про «сейчас даже блокнот не запустится, пока не дашь ему полный доступ к телефону. » Слишком много слоёв защиты приводят к тому что пользователь в итоге перестаёт видеть какие именно слои действительно огораживают его от заразы. И огораживают ли.
На Android/iOS еще более менее. Можно часть свойств ограничить, если быть внимательным.
Но на десктоп операционках все как вы и описали. тут где-то в комментах скидывали статью, где автор поднял все темы которые вы затронули в этом комментарии habr.com/post/426217
Но простого и адекватного решения никто не дал
Еще как могут, просто большинство атакует только Win системы, а побег из песочници браузера задача решаемая. Почему все думают, что для вируса нужно скачать и запустить файл?
Ссылками в мессенджеры спамили ещё в 2008 году, возможно ещё раньше
Спамили раньше, когда стали требовать запроса авторизации — стали спамить туда. Сейчас, возможно, спамят в привязанные к авитовским аккаунтам мессенджеры.
У меня мама (82 года) знает — нельзя нажимать на ссылки в смс.
И открывать смс ибо подруги не пишут смс.
Хорошая работа проделана, интересно читать!
При Вашей дотошности можно было бы ожидать найденного IRL автора виря — с последующим применением к нему тех самых сапог сперва в качестве сракобоев, а потом в качестве ластфуда )))
Это выходит за рамки моих полномочий)
люди в сапогах, готовые наделить себя такими полномочиями на доброе дело найдутся.

ИМХО — после нахождения функции с AES можно было не париться и просто поставить Xposed-модуль на перехват вызовов криптолиб Java. Таким образом, кстати, легко перехватываются хешируемые стринги в plaintext. Сам использую Inspeckage, крайне рекомендую — помимо перехвата вызовов хеширования, есть встроенные опции на кастрацию HPKP, чтобы например работали самоподписанные сертификаты.


Правда, уныние всё же настаёт если автор приложения додумывается выкинуть всё шифрование в JNI.

Вы совершенно правы. Но в статье есть оговорка, что проблему деобфускации можно решить тремя путями. Я пошёл по первому, как наиболее эффективному для понимания работы программы. А Вы как раз говорите про третий способ)

А что скажете о таком наборе инструментов, как mobile sf

Коллеги успешно её используют, самому не доводилось.
Не скачивайте приложения, кроме как с Google Play или AppStore
Помните, что и в Google Play может быть вредоносное ПО
Вбил в Google Play 'Фонарик', на первом же месте у меня приложение,
которое хочет получить следующие права:
Подозрительно?
зачем?!


Вроде андроид спрашивает к чему можно предоставить доступ. Но не каждый следит за выдачей таких прав…
P.S.
Недавно писал подобную статью про Windows, где никакого файла «Манифеста» нет. Но статься совсем не зашла…
Печально, что таких «Фонариков» пруд пруди в маркете.
Нужно еще работать и работать в сфере безопасности

p.s Мне зашла, спасибо. Просто люди подумали, что вы баяните и катите бочки на антивирусы а не открываете глаза на то, как все печально

Свежие версии Android требуют приложение запросить права в процессе работы.
В указанном Вами встроена карта и компас ;)

В указанном Вами встроена карта и компас ;)

оо, хоть что то «полезное». откуда знать что компас не прикрытие для слежки и тд?:)

Ниоткуда.
Хочешь надёжное приложение — пиши сам.

Ну тогда только если самому писать.
Как эту особенность отключить?
Ведь ещё 15 лет назад придумали как обходить: Когда какое нибудь окно просит подтверждение какого нибудь простого действия 3 раза подряд как раз в том месте где появится кнопочка «разрешить»… И на четвёртый раз запрашивает реальные права. Я бы и читал внимательно всё что пишет приложение, но палец уже находиться на «нужной» позиции…
Я не уверен про версию Андроида, но по-моему там есть фишка, что запрашивается доступ только в момент, когда права действительно нужны. На iOS такое тоже есть
Скорее всего агрегатор рекламных сетей запрашивает все права для всех сетей, вполне может быть не вредитель, но сам факт конечно не радует
Наконец-то я увидел заветное стандартное окно установки — смотреть на разрешения в наше время нет смысла, сейчас даже блокнот не запустится, пока не дашь ему полный доступ к телефону. Радостный

Вот, именно что. Новый механизм разрешений android ничего не решил по факту. Об этом я говорил с тех пор как его выпустили. Неужели программисты google не понимают этого?
Очень много. Теперь я могу давать разрешение на просмотр файлов, и не давать разрешения на телефонные вызовы. А то что автор так ТУПИТ, хоть он и IT'шник(что вообще не позволительно), то это наталкивает на версию о постанове. Ну реально. Как может человек, который может разобуфицировать код,

1)скачать приложение из ссылки в смс
2)проигнорировать антивирус
3)принять разрешения, даже не посмотрев на них(хотя если бы это было действительно платежное приложение, то это нормальные разрешения для него)
4)И вообще, как можно вообще поверить во всю эту «лабуду» с avitoPay?

Так что все это скорее всего постанова.
Скорее всего Вы не дочитали до конца. Такая подача. Очевидно, что автор не первый раз взял в руки телефон
Я дочитал до конца, но не прочитал постскриптум. Получается, он все это делал специально? Но зачем тогда устанавливать вирус на телефон, нельзя его сразу обуфицировать?
чтобы провести аллюзию с тем, как это происходит в реальной жизни?
Теперь я могу давать разрешение на просмотр файлов, и не давать разрешения на телефонные вызовы

Нет не можете. Зловредное приложение, что маскируется под нормальное банально встанет в позу и откажется работать.
И такое поведение есть даже у вполне нормальных приложений, например клиента mi router или у приложения miui погода.
Так что никакого отличия от старого механизма, где приложения получало разрешения перед установкой, нет в принципе.
Ну и посылать тогда эти «нормальные» приложения по известному адресу! Зачем приложению «Погода» информация о телефонных вызовах???
Miui, mi router — это же приложения от сяоми? Я бы отнёс их к зловредным

Если честно, очень приятная статья у Вас получилась)) и интересная. спасибо!
Но, как же это противно… Примерно, как воры, притворяющиеся ЖЭКом и обворовывающие пенсионеров.

Приятно слышать, что понравилось. Неприятно конечно, что интернет-мошенничество процветает и было бы хорошо, если для решения данной проблемы уделялось большее внимание на государственном уровне.
UFO just landed and posted this here
Б.у.-шная обувь, это не менее негигиенично нежели APK-файлы которые вам присылает не пойми кто… ))))

Ее вообще делают из коров, которые непонятно где валялись и чем болели. Ну если кожаную.
Пластиковая обувь более безопасна (китайские кеды и прочее).

К коровам у меня никакой неприязни нет, в отличие от людей. ;)
(кстати, кучу обуви делают из свиней… )
UFO just landed and posted this here
А вы знаете кто трогал эту замшу на фабрике?? То то же.
Только нудизм, только естественность
Главное её предварительно сжечь.

Я по заголовку статьи даже сперва подумал, что речь идет не о тех вирусах, которыми девайсы заражаются)

Спасибо, интересное исследование. Немного режет глаз тонна сарказма в статье… но в принципе ок.
Мне вот любопытно, почему автор виря не сделал перебор доменов для управления. По факту это наиболее уязвимое место всей схемы мошеничества. Понятно, что есть риски, что при дебаге могут перехватить управление. По вашему мнению уровень фишинга это скрипт-кидди, которые адаптировали чей то фреймворк, или все таки профи?
Сухая подача ведь тоже режет глаз Вы не находите ?)
Скорее всего это адаптация ранее написанных вредоносных программ, «малварщики» вообще ленивый народ: взять готовое, вписать свои сервера, обфусцировать (чтобы хотя бы денёк антивирусом не ловился) и вот вам готовая схема. Есть и более продвинутые с пулом-адресов, качественным ассиметричным шифрованием, коммерческим обфускатором и многое другое, но это явно не тут случай)

Думаю дешевле даже будет набор ip'шников. Типа амазоновских

Было очень интересно почитать. Пиши еще таких интересных статей.
Спасибо. Подкидывайте материал, а мы будем исследовать)
Есть скачанные пара apk, от неизвестных. Мимикрировали под фото, могу выслать) Сам я такое врядли быстро разберу.
Пишите в лс, там обсудим. А то попадет ещё под «распространение» вредоносного ПО )
Похоже, что приложение не только для фишинга использовалось, но и как программа-вымогатель, судя по третьему html-файлу :-))
Было бы интересно посмотреть на список поддерживаемых комманд с сервера. Наверняка одна из функций — шифрование диска.
В любом случае, вам здорово повезло, что домен оказался заблокированным!

Непонятно только почему злоумышленники продолжили рассылку?
Ведь им скорее всего было известно, что регистратор заблокировал доменное имя. Возможно готовилась новая версия с обновленными адресами.
может просто бот сообщения отсылал?
Возможно в программе отсылки сообщений не заложена функциональность проверки доступности командного сервера, она собрала массив номеров и стала отрабатывать при уже неработающем сервере. Либо программа сразу выслала данные на sms-шлюз, а вот там и образовалась очередь с задержкой отправки.
Вполне правдоподобный сценарий. Спасибо за пояснение!
Я постарался написать статью слегка в юмористическом формате и подать максимально просто, потому что даже мне не захотелось бы, наверное, читать в пятницу серьезный лонгрид с названием «Реверс-инжиниринг обфусцированного вредоносного приложения на ОС Android».
Слушайте, сработало. Был перечитан весь лонгрид и все спойлеры с невероятным удовольствием.
Спасибо за проделанный труд. Было интересно прочитать.
Приходило такое супруге — кстати, если открыть ссылку на компе, то тебя просто редиректит на настоящий авито.
Отличная статья. Именно благодря вашей подаче я дочитал это лонг-рид до конца, что в наше время редкость. Спасибо, все круто!=)
Спасибо, что дочитали)
Статья вводит в когнитивный диссонанс: с одной стороны автор занимается, гм, реверс-инжинирингом, но одновременно c этим 1) не озаботился узнать с самого начала, как именно он получит деньги за свой товар, выставленный на продажу в Сети, если по его словам он пользуется «до сих пор бумажными сберегательными книжками» 2) не понял с самого начала, что скачиваемое им приложение по определению не может быть официальным и ни разу не является приложением из достоверного источника.
UFO just landed and posted this here
Программа для просмотра декомпилированного кода, я бы рекомендовал jd-gui

Я бы не рекомендовал.
Пользоваться кривой гуйнёй тогда, когда можно с комфортом работать в Android Studio — сомнительное удовольствие. Тем паче, что JD не самый лучший декомпилятор, да ещё и не опенсорсный.
Особенное это удивительно читать, учитывая, что далее в статье есть скриншоты IDEA.


Кстати, dex2jar часто даёт сбои. Так, на рисунке ниже видно, что dex2jar версии 2.0 не смог справиться и просто выдал smali-код.

На рисунке ниже видно, что это не smali-код, а очень даже JVM-байткод, который не смог декомпилировать java-декомпилятор, которым вы пользовались. Вполне допускаю, что какой-то код dex2jar конвертировал некорректно, но поставить диагноз по фотографии не представляется возможным.


И, раз уж процитированное спрятано под спойлер "Примечание о декомпиляторах", то нелишне будет напомнить, что dex2jar не является декомпилятором.
Первый же пункт в FAQ:


Is dex2jar a dex decompiler
No, dex2jar is a tool for converting Android's .dex format to Java's .class format. just one binary format to another binary format, not to source.



Заменить все goto другими конструкциями языка, т.к. goto уже давно невалидный оператор.

Если быть точным, то валидным оператором в Java он не был никогда.


Отсюда очень легко забрать параметры с помощью регулярного выражения, чем написать регулярку на следующий код:

Героическое преодоление собственноручно созданных проблем.
Загрузив декомпилированный проект в Android Studio мы получим и подсветку кода, и хорошо работающий поиск идентификаторов и, до кучи, рефакторинг и инспекции кода, которые и dead code подсветят и отрефакторить исследуемый фрагмент кода позволят и все вызовы функции дешифрации найдут. Тем самым сильно облегчат исследование зловреда.


Как работать с декомпилированным кодом в более комфортных условиях можно почитать в моём лонгриде.
Правда без попыток продать сапоги, извините.

Спасибо за некоторые технические примечания — они уместны. Жаль Вы не поняли, что цель статьи решить реальную проблему и привлечь читателя в прекрасное путешествие под названием «реверс-инжиниринг» пусть и простыми, не самыми эффективными инструментами.
Спасибо за вашу статью. Видно, что Вы проделали большую работу по решению искусственно придуманной задачи-головоломки, но это обычно нужно для соревнований или при устройстве на работу.
Reverse engineering — это как правило всегда интересно. И писать на эту тему вы умеете интересно. Спасибо за отличную статью! Значит хорошие сапоги, надо брать.

Было забавно прочитать. Юмористический стиль сработал. Кто-то же устанавливает такие приложения раз они есть.

Да все кто не связан с IT, подвержены большому риску кибер-мошенничества, особенно удар приходится на старшее поколение, которые часто совершенно не понимают не то что «какие привилегии приложения безопасны», а банально «как выйти из приложения».
Спасибо за развернутую статью! С нашей стороны мы тоже боремся с такими рассылками — например, мы сейчас тестируем подменный (анонимный) номер в объявлениях. На анонимный номер не будут приходить обычные SMS, а звонки по этому номеру переадресовываются на реальный номер продавца.
Безопасность и анонимность это круто, но есть и обратная сторона.

Извиняюсь, но ранее бомбило от безысходности
Сколько раз я пытался в интеренете купить Mac, iPhone или еще какую то технику (за нормальную цену, пристально изучая профиль продавца, игнорируя недавно зарегистрировавщихся и тд )
Почти каждый раз натыкался на недобросовестных продавцов, которые лишь тратили мое время, пытаясь втюхать серое/отремонтированное.
Разок купил утопленный ранее «хлам», но абонент на свою радость перестал быть абонентом. Многие мои знакомы боятся покупать сложную технику, так как тоже попадались, только стыдятся об этом рассказывать первыми

Есть идеи борьбы с продавцами «подклеенных» сапог? Как бы ваш новый подход не сделал этих *** еще более анонимными.
Можно увидеть больше технических подробностей?
Так продал сапоги или нет? Все остальное хвалебные оды себе )

В советы можно добавить: пересылать это сообщение на антиспам номер своего оператора.

Ну ты вообще красавчик! И интересно так описал все! Круто! Спасибо!
Выводы несколько другие: автор лукавит.

Какой идиот поверит, что супер-реверс-инженер-ассемблерист, которому под силу декодировать плоды вируса-шифратора вручную, наивняцки открыл ссылку «Вася, клевые фотки тебе пришли 1200 р смотри тут», и покорно установил все, что просили.

Разумеется, обрисован демо-пример, и никакой вирус автором установлен на свой телефон не был.

То есть все, кто читал статью до вас и написал положительный отзыв-идиоты? Вам не кажется, что вы лукавите? Какой идиот поверит, что такой комментарий мог оставить человек, дочитавший статью до конца?

Sign up to leave a comment.