Вскрытие android-ных зловредов, что скрывается под капотом различной «заразы»!? Часть-I

И так дорогие пользователи и гости данного ресурса, сегодня мы попытаемся глянуть на различных зловредов из стана Android^)
Готовим: халат, шапочку, бахилы и перчатки….не забываем и о другом инструменте:) и не пьем (не курим и не вдыхаем…) ничего сильнодействующего….:)!

В коллекциях у многих антивирусных компаний уже набралось где-то до 10 миллионов образцов всякой заразы…Но примерно 9 миллионов 995 тысяч из них — это элементарные переименованные копии оригинальной малвари. Если глянуть исходный код нескольких тысяч образцов, то можно заметить небольшое количество уникальных функциональных блоков (с уникальными комбинациями и не менее уникальными «технологическими этюдами»).

Чаще всего, «бывшие коллеги» (мда, давно уже не балюсь такими вещами, честно…) элементарно от лени или в торопях, используют тривиальный функционал:

— отправить sms на платник;
— завладеть конфеденциальной инфой пользователя девайса…файло с SD-карты, дамп телефонной книжки смарта, архив sms:);
— собрать максимальное количество системной инфы о зараженном девайсе;
— получить рут-доступ на устройстве, чтобы в фоне делать все, что привидется воспаленному мозгу хозяина зловреда….;
— отслеживание и получение логинов и пассов, номера кредиток и пины к ним, которые многие хранят в приложениях, типа — заметки….:).

Но это была «проза» в мобильном аспекте зловредных вещей!:)

Первые «клиенты», в нашем программном морге:

1.AdSms
2.FakePlayer
3.HippoSms

Функционал — Отправка sms.
Это обычные sms-трояны, отправляют сообщения на платники без согласия пользователя мобильного девайса. Создать или переписать такую прожку обычно легко и процесс получения денег на пиво!;), обычно также предельно прост, чем грабить банковские данные….:)

Пример кода, элементарно функции отправки SMS, правда ее можно усложнить проверкой статуса отправки сообщений, выбором мобильного номера и последующим удалением sms после отправки:

private static SendSms (String DestNumber , String SmsText) {
// Попытка запуска метода sendTextMessage обьекта
// SmsManager (стандартная программа для отправки
// SMS у текущего устройства) с минимальным
// количеством параметров: номер получателя
// и текст сообщения
try {
SmsManager .getDefault() .sendTextMessage
(DestNumber,null,SmsText,null,null);
return true;
}
}
Запись пользовательской приватной инфы в текстовый файлик:

«Тела»:
1.NickySpy;
2.SmsSpy;

В большинстве случаев заражение этими пакостями происходит через инсталл приложений, особенно с левых, так сказать «бесплатных» маркетов:) и если вы скачали apk с файлообменника не потрудитесь открыть его архив и глянуть в следующие части…:

resuorces.arsc — таблица ресурсов;
res (папка) — собственно ресурсы (графические иконки и прочая лабуда…);
META-INF (папка) — файлы контрольных сумм ресурсов, сертификат приложения и версия сборки APK;
AndroidManifest.xml — служебная информация, вместе с разрешениями, которые нужны для корректной работы приложения…

classes.dex — в нем наряду с нужными и полезными классами, может содержаться вредоносные,…как раз вирусный код, который мы анализируем…?

Это была первая часть, даже больше введение….!:)