Вы никогда не задавались вопросом при покупке нового телефона, а что делают предустановленные приложения и почему их в большинстве случаев нельзя удалить?
Ребята из google сделали доклад в прошлом году на Blackhat, посвященный особенностям и сложностям reverse engineering предустановленных приложений и разобрали несколько интересных кейсов с предустановленной малварью и приложением с бэкдором для удаленного выполнения кода. Ну, и, конечно, много советов и практической информации от людей, которые эту систему разрабатывают 😁
Очень интересно и достаточно легко смотрится.
#Android #Revers #Blackhat #malware
https://youtu.be/U6qTcpCfuFc
Ребята из google сделали доклад в прошлом году на Blackhat, посвященный особенностям и сложностям reverse engineering предустановленных приложений и разобрали несколько интересных кейсов с предустановленной малварью и приложением с бэкдором для удаленного выполнения кода. Ну, и, конечно, много советов и практической информации от людей, которые эту систему разрабатывают 😁
Очень интересно и достаточно легко смотрится.
#Android #Revers #Blackhat #malware
https://youtu.be/U6qTcpCfuFc
YouTube
Securing the System: A Deep Dive into Reversing Android Pre-Installed Apps
This talk will detail the differences in reversing and analyzing pre-installed Android applications compared to the user-space applications that most security research has focused on. This will include things like identifying when a pre-installed application…
Многие компании используют системы MDM (mobile device management) для контроля корпоративных телефонов. Но мало кто задумывается о безопасности самих этих систем.
Наглядный пример хорошо расписан в исследовании компании Check Point, когда вирус установили на 75% устройств компании, получив доступ к системе MDM. 😱
Детальный разбор этого трояна с описанием всей функциональности и модулей также в статье :)
#MDM #malware #Android #Vulnerabilities
https://research.checkpoint.com/2020/mobile-as-attack-vector-using-mdm/
Наглядный пример хорошо расписан в исследовании компании Check Point, когда вирус установили на 75% устройств компании, получив доступ к системе MDM. 😱
Детальный разбор этого трояна с описанием всей функциональности и модулей также в статье :)
#MDM #malware #Android #Vulnerabilities
https://research.checkpoint.com/2020/mobile-as-attack-vector-using-mdm/
Check Point Research
First seen in the wild - Malware uses Corporate MDM as attack vector - Check Point Research
Research by: Aviran Hazum, Bogdan Melnykov, Chana Efrati, Danil Golubenko, Israel Wernik, Liav Kuperman, Ohad Mana Overview: Check Point researchers discovered a new Cerberus variant which is targeting a multinational conglomerate, and is distributed by the…
К сожалению, нам не удалось выиграть в этом году.. Но ничего, жизнь не стоит на месте, нужно двигаться дальше.
Как, например, это делают разработчики malware под Android 😁
Опубликован интересный разбор малвари, которая представляет собой модифицированную и улучшенную версию, которую обнаруживали ранее, аж в 2014-2015 годах.
Вообще, злоумышленники почему-то не любят использовать новые механизмы или новые уязвимости, а постоянно модифицируют и обновляют старые версии. Так и всплывают десятки модификаций, произрастающих из одного источника. Наверное, так проще 🤔
#Android #malware #research
https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html?m=1
Как, например, это делают разработчики malware под Android 😁
Опубликован интересный разбор малвари, которая представляет собой модифицированную и улучшенную версию, которую обнаруживали ранее, аж в 2014-2015 годах.
Вообще, злоумышленники почему-то не любят использовать новые механизмы или новые уязвимости, а постоянно модифицируют и обновляют старые версии. Так и всплывают десятки модификаций, произрастающих из одного источника. Наверное, так проще 🤔
#Android #malware #research
https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html?m=1
Talosintelligence
The wolf is back...
A blog from the world class Intelligence Group, Talos, Cisco's Intelligence Group
Продолжая тему различных malware под Android 🤓
Никогда не устареет техника полного копирования интерфейса приложения с добавлением некоторого количества "дополнительного" функционала. И ведь каждый раз Google Play пропускает эти приложения 🤦♂️
В Индии после выпуска официального приложения от правительства, в Google Play появились десятки клонов с вирусом на борту. Если я правильно помню, несколько раз фейковые приложения набирали больше скачиваний, чем оригинал, благодаря проплаченному продвижению в топ 😃
#Android #malware #GooglePlay #Phishing
Никогда не устареет техника полного копирования интерфейса приложения с добавлением некоторого количества "дополнительного" функционала. И ведь каждый раз Google Play пропускает эти приложения 🤦♂️
В Индии после выпуска официального приложения от правительства, в Google Play появились десятки клонов с вирусом на борту. Если я правильно помню, несколько раз фейковые приложения набирали больше скачиваний, чем оригинал, благодаря проплаченному продвижению в топ 😃
#Android #malware #GooglePlay #Phishing
И еще немного в копилку Malware под Android...
Несколько приложений для сканирования QR-кодов с более чем миллионом скачиваний 🙈🙈 были заражены трояном, который раз в 15 минут запрашивал информацию с сервера и показывал рекламу.
Но, что интересно, приложение не отображало рекламу для пользователя, как это обычно происходит в подобного вида малварях, а запускала Activity и сразу его скрывало (для пользователя это выглядит, как всплывающее белое окно, которое сразу же закрывается). То есть для злоумышленников был важен сам факт перехода по указанной ссылке с нужным id рекламы с телефона пользователя. Такое интересное наваривание денег на рекламной компании :))
Так что не стоит забывать, что из магазина Google Play тоже можно заразиться вирусом (Google Play Protect, к сожалению, далёк от идеала) и количество скачиваний приложения не всегда является показателем того, что приложение безопасно.
#Android #Malware #Report
Несколько приложений для сканирования QR-кодов с более чем миллионом скачиваний 🙈🙈 были заражены трояном, который раз в 15 минут запрашивал информацию с сервера и показывал рекламу.
Но, что интересно, приложение не отображало рекламу для пользователя, как это обычно происходит в подобного вида малварях, а запускала Activity и сразу его скрывало (для пользователя это выглядит, как всплывающее белое окно, которое сразу же закрывается). То есть для злоумышленников был важен сам факт перехода по указанной ссылке с нужным id рекламы с телефона пользователя. Такое интересное наваривание денег на рекламной компании :))
Так что не стоит забывать, что из магазина Google Play тоже можно заразиться вирусом (Google Play Protect, к сожалению, далёк от идеала) и количество скачиваний приложения не всегда является показателем того, что приложение безопасно.
#Android #Malware #Report
Второй инструмент - Quark. Он использует совершенно другой принцип, не запускает анализируемое приложение, а пытается декомпилировать и по собственным правилам (которые можно дописывать или украсть подглядеть на просторах интернета) определяет, насколько приложение похоже на вредонос.
Качество детекта приятно удивляет. Конечно, бывают смешные результаты, когда особо рьяные до безопасности банковские приложения определяются, как вредоносные, но тут можно поправить или отключить некоторые правила. Разворачивать и запускать ее намного проще, чем ту же Кукушку, достаточно выполнить команду:
Кстати, есть еще одна форма этого инструмента - для поиска уязвимостей в приложении, но уже совсем другая история и, может быть, я когда-то о нём напишу 😃
Если нужно определить, является ли Android-приложение зловредом или содержит в себе какие-то скрытые возможности, я бы рекомендовал комбинировать два эти инструмента для всестороннего анализа приложения, как с точки зрения статического анализа, так и динамического. Всё в лучших традициях AppSec - что-то найдет один инструмент, что-то другой и в итоге можно получить более-менее цельную картину.
#Android #Malware #Research #Tools
Качество детекта приятно удивляет. Конечно, бывают смешные результаты, когда особо рьяные до безопасности банковские приложения определяются, как вредоносные, но тут можно поправить или отключить некоторые правила. Разворачивать и запускать ее намного проще, чем ту же Кукушку, достаточно выполнить команду:
quark -a sample/14d9f1a92dd984d6040cc41ed06e273e.apk -r rules/ -s
И буквально через несколько минут получить результат. Кстати, есть еще одна форма этого инструмента - для поиска уязвимостей в приложении, но уже совсем другая история и, может быть, я когда-то о нём напишу 😃
Если нужно определить, является ли Android-приложение зловредом или содержит в себе какие-то скрытые возможности, я бы рекомендовал комбинировать два эти инструмента для всестороннего анализа приложения, как с точки зрения статического анализа, так и динамического. Всё в лучших традициях AppSec - что-то найдет один инструмент, что-то другой и в итоге можно получить более-менее цельную картину.
#Android #Malware #Research #Tools
GitHub
GitHub - quark-engine/quark-engine: Quark Agent - Your AI-powered Android APK Analyst
Quark Agent - Your AI-powered Android APK Analyst. Contribute to quark-engine/quark-engine development by creating an account on GitHub.
Я не очень люблю писать про разборы очередных зловредных приложений под Android. Как правило, они используют одни и те же техники, которые существуют уже давно, надесь на доверчивость пользователя или его желание во что бы то ни стало посмотреть на котиков.
Обычно, такие зловреды не несут в себе никакой функциональности для пользователя, а всего лишь пытаются получить данные пользователя, украсть смс и прочее. Мой фаворит - это фейковое приложение "Все банки в одном приложении", которое имела внутри себя 1 activity с возможностью выбрать банк для подключения и формочкой для данных карты. В зависимости от выбранного банка менялся фон - зеленый, красный, желтый.. При этом, GooglePlay рекомендовал его мне для установки и он был в топе скачиваний 🤦♂️🤦♂️
Но есть и исключения из правил, и об одном таком приложении написали коллеги из Eset. Приложение с полным функционалом мессенджера, которым пользовались люди и которое, помимо основного функционала, имело несколько интересных побочных функций :)
Достаточно легкий и в какой-то степени интересный обзор 😄
#Android #Malware #ChatApp
Обычно, такие зловреды не несут в себе никакой функциональности для пользователя, а всего лишь пытаются получить данные пользователя, украсть смс и прочее. Мой фаворит - это фейковое приложение "Все банки в одном приложении", которое имела внутри себя 1 activity с возможностью выбрать банк для подключения и формочкой для данных карты. В зависимости от выбранного банка менялся фон - зеленый, красный, желтый.. При этом, GooglePlay рекомендовал его мне для установки и он был в топе скачиваний 🤦♂️🤦♂️
Но есть и исключения из правил, и об одном таком приложении написали коллеги из Eset. Приложение с полным функционалом мессенджера, которым пользовались люди и которое, помимо основного функционала, имело несколько интересных побочных функций :)
Достаточно легкий и в какой-то степени интересный обзор 😄
#Android #Malware #ChatApp
Заметание следов с использованием Accessibility Services
Обычно я не пишу про новости об очередных троянах и вирусах, обнаруженных в GooglePlay и снова захвативших тысячи устройств. Это скучно, не интересно и я бы лучше сделал обзор, как эти штуки работают и что используют. Как правило, это просто различные модификации нескольких видов троянцев, которые несущественно видоизменены, чтобы их нельзя было обнаружить сигнатурным анализом. Бывают, конечно, уникальные малвари, но их единицы.
Но вот эта статья про то, как некоторые зловреды используют Accessibility Services для сокрытия следов, что затрудняет их обнаружение, мне очень понравилась.
Автор рассказывает, что это за сервис такой, как его использовать и приводит несколько реальных кейсов, как при помощи него уводили деньги с крипто кошельков, в том числе с двухфакторной авторизацией. И описывает, с какими сложностями можно столкнуться при расследовании таких хищений.
Статья большая, но интересная 😁
#android #forensic #research #malware
Обычно я не пишу про новости об очередных троянах и вирусах, обнаруженных в GooglePlay и снова захвативших тысячи устройств. Это скучно, не интересно и я бы лучше сделал обзор, как эти штуки работают и что используют. Как правило, это просто различные модификации нескольких видов троянцев, которые несущественно видоизменены, чтобы их нельзя было обнаружить сигнатурным анализом. Бывают, конечно, уникальные малвари, но их единицы.
Но вот эта статья про то, как некоторые зловреды используют Accessibility Services для сокрытия следов, что затрудняет их обнаружение, мне очень понравилась.
Автор рассказывает, что это за сервис такой, как его использовать и приводит несколько реальных кейсов, как при помощи него уводили деньги с крипто кошельков, в том числе с двухфакторной авторизацией. И описывает, с какими сложностями можно столкнуться при расследовании таких хищений.
Статья большая, но интересная 😁
#android #forensic #research #malware
SpringerLink
Reducing the Forensic Footprint with Android Accessibility Attacks
Android accessibility features include a robust set of tools allowing developers to create apps for assisting people with disabilities. Unfortunately, this useful set of tools can also be abused and turned into an attack vector, providing malware with the…
Неофициальный клиент club house на Android оказался вирусом
Ну просто Breaking news! Неофициальный клиент ClubHouse под Андроид тырил учетные данные от кучи приложений.
Как только ClubHouse начал адскую пар-компанию и стал безумно популярен, я ждал новостей про новые стилеры, мимикрирующие под него. Ну просто невозможно же пройти мимо такого хайпа)) Я думаю, что если попробовать поискать в PlayStore или просто в гугле, можно еще много подобных вещей найти))
Так что будьте аккуратны и не ставьте что попадя на свой телефон :)
#malware #android
Ну просто Breaking news! Неофициальный клиент ClubHouse под Андроид тырил учетные данные от кучи приложений.
Как только ClubHouse начал адскую пар-компанию и стал безумно популярен, я ждал новостей про новые стилеры, мимикрирующие под него. Ну просто невозможно же пройти мимо такого хайпа)) Я думаю, что если попробовать поискать в PlayStore или просто в гугле, можно еще много подобных вещей найти))
Так что будьте аккуратны и не ставьте что попадя на свой телефон :)
#malware #android
Threat Post
Bogus Android Clubhouse App Drops Credential-Swiping Malware
The malicious app spreads the BlackRock malware, which steals credentials from 458 services - including Twitter, WhatsApp, Facebook and Amazon.
Очень хитрая и интересная малварь
Обычно я не люблю статьи про анализ разных вирусов и прочей малвари под Android, так как в них в 90% случаев нет ничего особенного и интересного. Такое ощущение, что их просто делают под копирку и собирают из нескольких доступных исходников с небольшой модификацией.
Однако в этой статье рассказывается про очень интересную и достаточно хитрую малварь, которая не реализует классический
В общем, достаточно интересный пример, можно взять на вооружение для ctf, например.
#android #malware #multidex #research
Обычно я не люблю статьи про анализ разных вирусов и прочей малвари под Android, так как в них в 90% случаев нет ничего особенного и интересного. Такое ощущение, что их просто делают под копирку и собирают из нескольких доступных исходников с небольшой модификацией.
Однако в этой статье рассказывается про очень интересную и достаточно хитрую малварь, которая не реализует классический
DexClassLoader для подгрузки и запуска полезной нагрузки, а использует механизм MultiDexApplication с небольшими изменениями (изменены имена файлов, локация для сохранения, а также реализована предварительная расшифровка dex-файла). Хорошо, что ключ шифрования по традиции сохраняется в исходном коде 🙄В общем, достаточно интересный пример, можно взять на вооружение для ctf, например.
#android #malware #multidex #research
Medium
Multidex trick to unpack Android/BianLian
This article explains how to unpack sample sha256 5b9049c392eaf83b12b98419f14ece1b00042592b003a17e4e6f0fb466281368 which was served from…
Всем любителям Flutter посвящается
В последнее время из каждого чата доносится Flutter, Flutter,Stepn Flutter.
Вот и исследователю попалось приложение, потенциально похожее на зловредное. А во время анализа выяснилось, что написано оно на платформе Andromo, что на самом деле тот же флаттер.
Статья разделена на несколько частей, анализ таких приложений в целом (подходы, инструменты и т.д.).
И вторая часть про анализ зловредности. Вообще, достаточно познавательная статейка.
Как оказалось в итоге, приложение это не малварь, но что-то мне подсказывает, что в скором времени мы ещё увидим статьи о новых типах зловредов, написанных на Dart..
#malware #flutter #reflutter
В последнее время из каждого чата доносится Flutter, Flutter,
Вот и исследователю попалось приложение, потенциально похожее на зловредное. А во время анализа выяснилось, что написано оно на платформе Andromo, что на самом деле тот же флаттер.
Статья разделена на несколько частей, анализ таких приложений в целом (подходы, инструменты и т.д.).
И вторая часть про анализ зловредности. Вообще, достаточно познавательная статейка.
Как оказалось в итоге, приложение это не малварь, но что-то мне подсказывает, что в скором времени мы ещё увидим статьи о новых типах зловредов, написанных на Dart..
#malware #flutter #reflutter
Medium
Reversing an Android sample which uses Flutter
Flutter is a framework able to build multi-platform apps (e.g. iOS and Android) from a single code base. The same source code is able to…
Очередной вирус в Google Play
На этот раз героем статьи оказалось вирусное приложение в виде QR-сканера (странно, что не калькулятор) с более чем 10 тысячами загрузок.
Не знаю почему, но эта статья мне приглянулась. Там не сильно много подробностей, показан основной принцип работы 90% подобных вирусов и рассказаны примеры общения с С&C-сервером, а полезную нагрузку он закачивал с Github 🤓
Но тем не менее, почему-то я ее с интересом прочитал. Наверное, чтобы убедится, что перехват смс и скрытие иих от пользака по прежнему работает так же, как и 10 лет назад 😄
Но можно еще и блок этой компании полистать, можно найти много достаточно интересных статей.
#Malware #Android #QR
На этот раз героем статьи оказалось вирусное приложение в виде QR-сканера (странно, что не калькулятор) с более чем 10 тысячами загрузок.
Не знаю почему, но эта статья мне приглянулась. Там не сильно много подробностей, показан основной принцип работы 90% подобных вирусов и рассказаны примеры общения с С&C-сервером, а полезную нагрузку он закачивал с Github 🤓
Но тем не менее, почему-то я ее с интересом прочитал. Наверное, чтобы убедится, что перехват смс и скрытие иих от пользака по прежнему работает так же, как и 10 лет назад 😄
Но можно еще и блок этой компании полистать, можно найти много достаточно интересных статей.
#Malware #Android #QR
K7 Labs
Play Store App Serves Teabot Via GitHub
We at K7 Labs recently came across this twitter post aboutTeabot (aka ‘Anatsa’) a banking Trojan. The main infection vector […]
Определение «зловредности» приложения.
Попался на глаза интересный репозиторий, который используя специально обученную ML-модель определяет, является ли Android-приложение malware и с какой вероятностью.
Сеть натренирована на репозитории, в котором представлена куча всяких зловредов под Android (около 300 штук), на любой вкус. Можно самому посмотреть, как какой из них работает.
Интересно попробовать свои приложения в него позагружать и посмотреть, какие из них он посчитает вредоносом.
#Android #malware
Попался на глаза интересный репозиторий, который используя специально обученную ML-модель определяет, является ли Android-приложение malware и с какой вероятностью.
Сеть натренирована на репозитории, в котором представлена куча всяких зловредов под Android (около 300 штук), на любой вкус. Можно самому посмотреть, как какой из них работает.
Интересно попробовать свои приложения в него позагружать и посмотреть, какие из них он посчитает вредоносом.
#Android #malware
GitHub
GitHub - user1342/DroidDetective: A machine learning malware analysis framework for Android apps.
A machine learning malware analysis framework for Android apps. - user1342/DroidDetective
Большая энциклопедия Android-malware
Не так давно кто-то спрашивал про сэмплы зловредов под Androd. Тогда я скинул репозиторий, который содержит определенное их количество и периодически обновляется.
Но вот намного более интересный вариант под названием Androscope, поиск по вредоносам, а точнее по их функционалу. То есть, с его помощью можно найти все семплы, которые записывают видео с экрана или используют наложение, отреверсить их и понять, как они это имплементируют.
Очень интересный проект, для аналитиков самое то!
А вот небольшая статья по его функционалу.
#Android #Malware #reverse
Не так давно кто-то спрашивал про сэмплы зловредов под Androd. Тогда я скинул репозиторий, который содержит определенное их количество и периодически обновляется.
Но вот намного более интересный вариант под названием Androscope, поиск по вредоносам, а точнее по их функционалу. То есть, с его помощью можно найти все семплы, которые записывают видео с экрана или используют наложение, отреверсить их и понять, как они это имплементируют.
Очень интересный проект, для аналитиков самое то!
А вот небольшая статья по его функционалу.
#Android #Malware #reverse
Детальный разбор эволюции троянского приложения Flubot
Очень здоровская статья про развитие и эволюцию банковского зловреда под Андроид.
Основной особенностью на мой взгляд, является то, что это современный (первая версия датирована 2020 годом), написанный самостоятельно (а не скопированный с других зловредов) проект, который эволюционирует и развивается получше и побыстрее многих коммерческих приложений 😁
Очень интересно почитать про те приемы, которые они использовали, чтобы оставаться менее заметными и их было сложнее определить.
В общем, рекомендую почитать, может даже мы что-то у них позаимствуем :)
#malware #android #analisys
Очень здоровская статья про развитие и эволюцию банковского зловреда под Андроид.
Основной особенностью на мой взгляд, является то, что это современный (первая версия датирована 2020 годом), написанный самостоятельно (а не скопированный с других зловредов) проект, который эволюционирует и развивается получше и побыстрее многих коммерческих приложений 😁
Очень интересно почитать про те приемы, которые они использовали, чтобы оставаться менее заметными и их было сложнее определить.
В общем, рекомендую почитать, может даже мы что-то у них позаимствуем :)
#malware #android #analisys
Fox-IT International blog
Flubot: the evolution of a notorious Android Banking Malware
Authored by Alberto Segura (main author) and Rolf Govers (co-author) Summary Flubot is an Android based malware that has been distributed in the past 1.5 years inEurope, Asia and Oceania affecting …
Немного про анализ Malware
Хоть я и не сильно люблю эту тему, но иногда попадаются действительно качественные исследования того, как работают и функционируют различные зловреды на Android. И сегодня как раз про такие исследования и поговорим.
Нередко, при прочтении можно получить интересные идеи и мысли по защите своего кода и приложения от анализа. Действительно, некоторые из представителей показывают достаточно неплохой уровень защиты. Но, это скорее исключения, так как 90% экземпляров зловредов это пересобранные, перепакованные версии одной и той же (иногда немного модифицированной) версии.
А с другой стороны можно посмотреть реализацию разного функционала, который можно даже использовать :D
Ну что же, вот и небольшая подборка:
1. Technical analysis of Ginp android malware
По факту, разбор того, как работает малварь, её возможностей и способов реализации.
2. A TECHNICAL ANALYSIS OF PEGASUS FOR ANDROID
А вот это уже куда более интересное исследование самого живучего и интересного представителя - Pegasus для Андроид. Статья в нескольких частях и очень подробно разобраны все возможности и их реализация
3. Technical analysis of SharkBot android malware
Исследование от авторов первой статьи по новому трояну. Ничего необычного, но есть и интересные моменты, например обнаружение работы на эмуляторе.
4. This Is the Code the FBI Used to Wiretap the World
А вот эта статья достойна отдельного вашего внимания. Это троян для криминального мира. Если верить источнику, то FBI разработал защищенный мессенджер, который шифрует сообщения и обеспечивает конфиденциальность переписок и стал продавать его на черном рынке для всяких бандитов :) очень классный ход, учитывая, что все сообщения пересылались в FBI . Но интересно даже не это, а то, что судя по описанию и коду, разрабатывался проект быстро, с кучей лишнего кода, а за основу вообще был взят опенсорс. И делалось это на фрилансе сторонними разработчиками.
Так что, друзья, будьте аккуратны, беря на фриланс странные проекты))
Вот такой необычный пост сегодня получился, надеюсь, что в ближайшее время про малварь больше не будет новостей, а будет что-то новое и интересное, но похоже, что все сейчас обеспокоены немного другим и не так много исследований. Но, думаю, что в ближайшее время всё наладится)
Хорошей недели вам!
#android #malware #pegasus
Хоть я и не сильно люблю эту тему, но иногда попадаются действительно качественные исследования того, как работают и функционируют различные зловреды на Android. И сегодня как раз про такие исследования и поговорим.
Нередко, при прочтении можно получить интересные идеи и мысли по защите своего кода и приложения от анализа. Действительно, некоторые из представителей показывают достаточно неплохой уровень защиты. Но, это скорее исключения, так как 90% экземпляров зловредов это пересобранные, перепакованные версии одной и той же (иногда немного модифицированной) версии.
А с другой стороны можно посмотреть реализацию разного функционала, который можно даже использовать :D
Ну что же, вот и небольшая подборка:
1. Technical analysis of Ginp android malware
По факту, разбор того, как работает малварь, её возможностей и способов реализации.
2. A TECHNICAL ANALYSIS OF PEGASUS FOR ANDROID
А вот это уже куда более интересное исследование самого живучего и интересного представителя - Pegasus для Андроид. Статья в нескольких частях и очень подробно разобраны все возможности и их реализация
3. Technical analysis of SharkBot android malware
Исследование от авторов первой статьи по новому трояну. Ничего необычного, но есть и интересные моменты, например обнаружение работы на эмуляторе.
4. This Is the Code the FBI Used to Wiretap the World
А вот эта статья достойна отдельного вашего внимания. Это троян для криминального мира. Если верить источнику, то FBI разработал защищенный мессенджер, который шифрует сообщения и обеспечивает конфиденциальность переписок и стал продавать его на черном рынке для всяких бандитов :) очень классный ход, учитывая, что все сообщения пересылались в FBI . Но интересно даже не это, а то, что судя по описанию и коду, разрабатывался проект быстро, с кучей лишнего кода, а за основу вообще был взят опенсорс. И делалось это на фрилансе сторонними разработчиками.
Так что, друзья, будьте аккуратны, беря на фриланс странные проекты))
Вот такой необычный пост сегодня получился, надеюсь, что в ближайшее время про малварь больше не будет новостей, а будет что-то новое и интересное, но похоже, что все сейчас обеспокоены немного другим и не так много исследований. Но, думаю, что в ближайшее время всё наладится)
Хорошей недели вам!
#android #malware #pegasus
muha2xmad
Technical analysis of Ginp android malware
بسم الله الرحمن الرحيم
Анализ Android-трояна GodFather
Чем еще заняться в старый новый год? Конечно же, поизучать разные малвари :)
Пример разбора одного из классических примеров зловреда, сочетающий в себе функции перенаправления смс и звонков для обхода 2фа, записи экрана, оверлеев и прочих заурядных вещей описан в статье.
Что сказать, на месте авторов я бы поизучал безопасность приложений.. Например, ужасная функция защиты от работы на эмуляторе, ключ шифрования 'ABC', зашитый в коде, не очень хорошая обфускация (судя по скринам), как-то не впечатляет :)
И еще одна интересная статья по этому же троянцу от Group, которая описывает немного другие аспекты, есть как технические, так и поведенческие моменты, но все равно очень интересно почитать.
Хоть и не сильно мне нравятся подобные темы, но иногда можно и посмотреть, что скрыто внутри малвари, попадаются иногда очень технически интересные экземпляры и статьи по их разбору :)
Всех с наступающим старым новым годом!
#Android #Malware #godfather
Чем еще заняться в старый новый год? Конечно же, поизучать разные малвари :)
Пример разбора одного из классических примеров зловреда, сочетающий в себе функции перенаправления смс и звонков для обхода 2фа, записи экрана, оверлеев и прочих заурядных вещей описан в статье.
Что сказать, на месте авторов я бы поизучал безопасность приложений.. Например, ужасная функция защиты от работы на эмуляторе, ключ шифрования 'ABC', зашитый в коде, не очень хорошая обфускация (судя по скринам), как-то не впечатляет :)
И еще одна интересная статья по этому же троянцу от Group, которая описывает немного другие аспекты, есть как технические, так и поведенческие моменты, но все равно очень интересно почитать.
Хоть и не сильно мне нравятся подобные темы, но иногда можно и посмотреть, что скрыто внутри малвари, попадаются иногда очень технически интересные экземпляры и статьи по их разбору :)
Всех с наступающим старым новым годом!
#Android #Malware #godfather
muha2xmad
Technical analysis of Godfather android malware
بسم الله الرحمن الرحيم
Анализ iOS-стилера
Что мы все про Андроид малварь, да про Андроид? Ведь на iOS тоже есть подобные экземпляры))
И на самом деле, если взглянуть на ситуацию год или два назад, то скорее всего их количество было сильно меньше, так как поставить приложение на iOS считалось чем-то очень и очень сложным. Но за последнее время, в связи с блокировкой многих приложений и поиска альтернативных средств установки это стало более реально. Раньше мы намного больше следили за тем, откуда загружается приложение, сейчас же все больше доверия к сайтам, с которых можно скачать приложение, все больше доверия сертификатам (профилям) разработчиков, которым нужно "доверять", чтобы работало приложение. То есть, мы планомерно приучаемся доверять нелегитимным источникам. И я думаю в ближайшее время появится еще больше похожих приложений.
Но от теории и размышлениям к статье. Статья из трех частей (опубликовано на данный момент две), в которой автор разбирает экземпляр приложения, которое ворует данные с устройства.
В первой статье идет речь про анализ сайта, который помогает загружать приложения на устройства пользователей. Объясняется принцип того, как можно установить приложение, что за сертификат разработчика, какие способы используют злоумышленники для фишинга. Ну тут все относительно просто, сайт определяет, откуда пришел пользователь, собирает про него всевозможные данные и показывает ему или QR для считывания на телефоне или мимикрирует под страничку AppStore с возможностью установки приложения.
Во второй статье уже идет разбор самого приложения, его сетевого трафика, анализ при помощи Ghydra и анализ поведения в динамике. По большому счету, стилер просто сливает ваши контакты злоумышленникам после получения доступа к адресной книге. Ну такое себе, могли бы что-то и поинтереснее придумать. Но статья интересна несколькими подходами по дизассемблированию, использованию нескольких скриптов по упрощению кода и приведение его к более читаемому виду. В общем, рекомендую почитать, если работаете с анализом iOS-бинарников.
Так что светлое будущее наступило и ждем, появления более интересных экземпляров.
#ios #stealer #malware
Что мы все про Андроид малварь, да про Андроид? Ведь на iOS тоже есть подобные экземпляры))
И на самом деле, если взглянуть на ситуацию год или два назад, то скорее всего их количество было сильно меньше, так как поставить приложение на iOS считалось чем-то очень и очень сложным. Но за последнее время, в связи с блокировкой многих приложений и поиска альтернативных средств установки это стало более реально. Раньше мы намного больше следили за тем, откуда загружается приложение, сейчас же все больше доверия к сайтам, с которых можно скачать приложение, все больше доверия сертификатам (профилям) разработчиков, которым нужно "доверять", чтобы работало приложение. То есть, мы планомерно приучаемся доверять нелегитимным источникам. И я думаю в ближайшее время появится еще больше похожих приложений.
Но от теории и размышлениям к статье. Статья из трех частей (опубликовано на данный момент две), в которой автор разбирает экземпляр приложения, которое ворует данные с устройства.
В первой статье идет речь про анализ сайта, который помогает загружать приложения на устройства пользователей. Объясняется принцип того, как можно установить приложение, что за сертификат разработчика, какие способы используют злоумышленники для фишинга. Ну тут все относительно просто, сайт определяет, откуда пришел пользователь, собирает про него всевозможные данные и показывает ему или QR для считывания на телефоне или мимикрирует под страничку AppStore с возможностью установки приложения.
Во второй статье уже идет разбор самого приложения, его сетевого трафика, анализ при помощи Ghydra и анализ поведения в динамике. По большому счету, стилер просто сливает ваши контакты злоумышленникам после получения доступа к адресной книге. Ну такое себе, могли бы что-то и поинтереснее придумать. Но статья интересна несколькими подходами по дизассемблированию, использованию нескольких скриптов по упрощению кода и приведение его к более читаемому виду. В общем, рекомендую почитать, если работаете с анализом iOS-бинарников.
Так что светлое будущее наступило и ждем, появления более интересных экземпляров.
#ios #stealer #malware
Medium
Analysis of an Info Stealer — Chapter 1: The Phishing Website
Introduction