Вскрытие android-ных зловредов, что скрывается под капотом различной "заразы"!? Часть-I

И так дорогие пользователи и гости данного ресурса, сегодня мы попытаемся глянуть на различных зловредов из стана Android^)
Готовим: халат, шапочку, бахилы и перчатки....не забываем и о другом инструменте:) и не пьем (не курим и не вдыхаем...) ничего сильнодействующего....:)!

В коллекциях у многих антивирусных компаний уже набралось где-то до 10 миллионов образцов всякой заразы...Но примерно 9 миллионов 995 тысяч из них - это элементарные переименованные копии оригинальной малвари. Если глянуть исходный код нескольких тысяч образцов, то можно заметить небольшое количество уникальных функциональных блоков (с уникальными комбинациями и не менее уникальными "технологическими этюдами").

Чаще всего, "бывшие коллеги" (мда, давно уже не балюсь такими вещами, честно...) элементарно от лени или в торопях, используют тривиальный функционал:

- отправить sms на платник;
- завладеть конфеденциальной инфой пользователя девайса...файло с SD-карты, дамп телефонной книжки смарта, архив sms:);
- собрать максимальное количество системной инфы о зараженном девайсе;
- получить рут-доступ на устройстве, чтобы в фоне делать все, что привидется воспаленному мозгу хозяина зловреда....;
- отслеживание и получение логинов и пассов, номера кредиток и пины к ним, которые многие хранят в приложениях, типа - заметки....:).

Но это была "проза" в мобильном аспекте зловредных вещей!:)

Первые "клиенты", в нашем программном морге:

1.AdSms
2.FakePlayer
3.HippoSms

Функционал - Отправка sms.
Это обычные sms-трояны, отправляют сообщения на платники без согласия пользователя мобильного девайса. Создать или переписать такую прожку обычно легко и процесс получения денег на пиво!;), обычно также предельно прост, чем грабить банковские данные....:)

Пример кода, элементарно функции отправки SMS, правда ее можно усложнить проверкой статуса отправки сообщений, выбором мобильного номера и последующим удалением sms после отправки:

private static SendSms (String DestNumber , String SmsText) {
// Попытка запуска метода sendTextMessage обьекта
// SmsManager (стандартная программа для отправки
// SMS у текущего устройства) с минимальным
// количеством параметров: номер получателя
// и текст сообщения

try {
SmsManager .getDefault() .sendTextMessage
(DestNumber,null,SmsText,null,null);
return true;
}
}
Запись пользовательской приватной инфы в текстовый файлик:

"Тела":
1.NickySpy;
2.SmsSpy;

В большинстве случаев заражение этими пакостями происходит через инсталл приложений, особенно с левых, так сказать "бесплатных" маркетов:) и если вы скачали apk с файлообменника не потрудитесь открыть его архив и глянуть в следующие части...:

resuorces.arsc - таблица ресурсов;
res (папка) - собственно ресурсы (графические иконки и прочая лабуда...);
META-INF (папка) - файлы контрольных сумм ресурсов, сертификат приложения и версия сборки APK;
AndroidManifest.xml - служебная информация, вместе с разрешениями, которые нужны для корректной работы приложения...

classes.dex - в нем наряду с нужными и полезными классами, может содержаться вредоносные,...как раз вирусный код, который мы анализируем...?

Это была первая часть, даже больше введение....!:)

Кто хочет может самолично заняться анализом кода, и накопить соответствующий опыт, для перехода на следующий Level во второй части!:))))

Ваша оценка: Нет Средняя оценка: 4.5 (2 votes)

любопытная инфа:)

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Счетчики
  • Самый популярный сайт о Linux и Windows 10
  • Индекс цитирования