Android malware что это
Малварь для Android за полчаса. Отслеживаем местоположение, читаем SMS, пишем аудио и делаем фото
Содержание статьи
Возможности будут следующие:
Все это приложение будет отправлять на удаленный сервер, где мы сможем проанализировать результаты его работы.
WARNING
Важно! Создание и распространение вредоносных программ карается лишением свободы до четырех лет (статья 273). Мы не хотим, чтобы ты сломал себе жизнь в местах не столь отдаленных, поэтому публикуем статью исключительно в образовательных целях. Ведь лучший способ разобраться в работе зловредного ПО — это узнать, как оно создается.
Каркас
По понятным причинам я не смогу привести полный код приложения в статье, поэтому некоторые задачи тебе придется выполнить самому (для этого потребуются кое-какие знания в разработке приложений для Android).
На этом этапе задача следующая: создать приложение с пустым (или просто безобидным) интерфейсом. Сразу после запуска приложение скроет свою иконку, запустит сервис и завершится (сервис при этом будет продолжать работать).
Начнем. Создай приложение, указав в манифесте следующие разрешения:
Добавь их описание в манифест (здесь и далее наше приложение будет называться com.example.app):
Всю злобную работу мы будем делать внутри сервиса, поэтому наша Activity будет очень проста:
Этот код запустит сервис сразу после запуска приложения и отключит активность. Побочным эффектом последнего действия станет завершение приложения и исчезновение иконки из лаунчера. Сервис продолжит работу.
Информация о местоположении
Теперь мы должны добавить в сервис код, который будет собирать интересующую нас информацию.
Начнем с определения местоположения. В Android есть несколько способов получить текущие координаты устройства: GPS, по сотовым вышкам, по Wi-Fi-роутерам. И с каждым из них можно работать двумя способами: либо попросить систему определить текущее местоположение и вызвать по окончании операции наш колбэк, либо спросить ОС о том, какие координаты были получены в последний раз (в результате запросов на определение местоположения от других приложений, например).
В нашем случае второй способ намного удобнее. Он быстрый, абсолютно незаметен для пользователя (не приводит к появлению иконки в строке состояния) и не жрет аккумулятор. Кроме того, его очень просто использовать:
Данная функция спрашивает систему о последних координатах, полученных с помощью определения местоположения по сотовым вышкам и по GPS, затем берет самые свежие данные и возвращает их в форме объекта Location.
Далее можно извлечь широту и долготу и записать их в файл внутри приватного каталога нашего приложения:
Когда придет время отправлять данные на сервер, мы просто отдадим ему этот и другие файлы.
Список установленных приложений
Получить список установленных приложений еще проще:
Метод получает список всех приложений и сохраняет его в файл apps внутри приватного каталога приложения.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Евгений Зобнин
Редактор рубрики X-Mobile. По совместительству сисадмин. Большой фанат Linux, Plan 9, гаджетов и древних видеоигр.
Обзор Malwarebytes Anti-Malware Mobile для Android
Эксперты в области безопасности знают, что можно спокойно полагаться на Malwarebytes при очистке угроз на инфицированном вирусами и вредоносными программами компьютере. Разработчики решили расширить свои технологии и на мобильные устройства, создав версию Malwarebytes для Android, которая распространяется абсолютно бесплатно.
Malwarebytes лишен различных наворотов и всевозможных функций, которые можно встретить в продуктах других вендоров. Мобильный антивирус сконцентрирован на обнаружении вредоносных и потенциально нежелательных приложений. Проблема заключается в том, что продукт имеет довольно спорную эффективность.
Антивирусное сканирование
Тестирование AV-Test: Антивирусы для Android. Январь 2014: Общий уровень обнаружения
Для сравнения носители звания “Выбор редакции” Bitdefender и Avast обнаружили 100 процентов из 2950 тестовых угроз и не выдали ни одного ложного срабатывания.
Во время собственного тестирования Макс решил проверить влияние на производительность устройства с помощью синтетических тестов Antutu и Geekbench. Для тестов использовался Samsung Galaxy S5 в трех состояниях: с установленной защитой Malwarebytes, без защиты и после сброса до заводских настроек. Продукт показал очень слабое влияние на производительность. Нужно уточнить, что Malwarebytes стал первым продуктом, проверенным по новой методике, сравнивать его показатели преждевременно.
При обнаружении вредоносного приложения Malwarebytes предлагает три варианта дальнейшего действия: игнорировать угрозу, удалить ее или добавить в белый список. Последняя опция позволяет исключить приложение из последующих сканирований. Если Вы являетесь разработчиком или Вам часто приходится работать с приложениями, устанавливаемыми не из Google Play, данная возможность будет очень полезной. Если Вы случайно добавите в белый список приложение, удалить его из списка и тем самым вернуть его в программу сканирования будет совсем несложно.
Malwarebytes умеет сканировать приложения еще до их запуска. При скачивании трех невредоносных приложений, которые отключают механизмы обнаружения угроз, все они были успешно детектированы Malwarebytes.
Пользователь может запускать сканирования вручную или настраивать расписание на удобное время. По умолчанию, антивирус выполняет сканирование каждый день в полдень, а также при каждом обновлении системы.
Защита от кражи и другие инструменты
Эксперты по безопасности признают, что самую главную угрозы для мобильных устройств на Android представляют не вредоносные приложения, а потеря или кража самого гаджета. Вот почему многие вендоры антивирусного ПО включают защиту от кражи в свои мобильные решения безопасности. Malwarebytes не снабдил свой продукт отдельных компонентом, вместо этого пользователю предоставляется ссылка на мобильный сайт менеджера устройств Android. Сервис интегрирован на уровне ОС компанией Google и позволяет удаленно блокировать, определять местоположение и стирать все данные на устройстве.
Malwarebytes содержит менеджер приватных данных, который сканирует разрешения приложений и сортирует их по критерию потенциальной опасности. Среди опасных параметров значатся “Использование приложения может стоить денег” или “мониторинг вызовов” Пользователю предоставляется возможность решить, какие приложения представляют потенциальный риск.
Продукт содержит также менеджер приложений, который просто показывает, какие приложения установлены, а какие запущены в конкретный момент. Последняя информация особо полезна, т.к. позволяет проанализировать, какие приложения запущены в фоновом режиме. Большое значение имеет белый список. Здесь Вы можете посмотреть и удалить приложения, которые Вы пометили как надежные при первоначальном срабатывании Malwarebytes.
Среднестатистический мобильный антивирус должен включать в себя множество дополнительных функций. Однако, это не всегда будет относиться к достоинствам решения. Редакции PC Magaizine понравился полноценный комплексный функционал Avast! Mobile Security & Antivirus, но Qihoo 360 Security показался перегруженным большим количеством компонентов. Напротив, Malwarebytes кажется слишком ограниченным в своих возможностях. Продукт не поддерживает оповещения о смене SIM-карты и SMS-команды для удаленного управления устройством. Конечно, если Вам нужны именно эти функции, Вы всегда сможете установить отдельное решение, например Bitdefender Anti-Theft.
Продукт бесплатен!
Конечно, Malwarebytes Anti-Malware Mobile не предлагает множество различных инструментов и функций, но подход прямого, сконцентрированного на основных задачах решения имеет право на существование. Google обеспечивает пользователя Android функциями защиты от кражи на уровне системы, а большинство современных мобильных браузеров имеют фильтры для блокировки веб-угроз.
Malwarebytes справляется с основами защиты, но уровень обнаружения продукта заметно отстает от конкурентов. Avast идет далеко впереди вместе со своим богатым набором функций, характерных для многих платных приложений. Avast сохраняет звание “Выбор редакции” в категории бесплатных мобильных антивирусов для Android.
Обзор Malwarebytes Anti-Malware Mobile для Android: Оценка PC Magazine
Malwarebytes Anti-Malware Mobile предоставляет бесплатную антивирусную защиту для вашего устройства на платформе Android, но приложение сконцентрировано только на решение базовых задач, набор функций ограничен.
Иследование современного Malware Cerberus под Android
На носу 2020 год и сегодня мы имеем уже версию Android 9.0 Pie, где компания Google бьет себе в грудь и говорит что их продукт защищен. Но злодеи не дремлют и создают свои вредоносы для Android.
Случайным образом мне попался на руки обфусцированный apk файл, который является банковской малварью под названием «Cerberus», и появился он в 2019 году.
APK файл данного ботнета попал мне с недействительным адресом соединения с сервером, по этому часть логики работы и функционала осталась неизученной, так как данный ботнет использует «модульную» систему, и подгружает функционал напрямую со своего сервера.
Анализ apk пакета
После анализа apk-пакета, я составил структуру троянской программы:
Начнём с манифеста
Манифест у приложения достаточно интересный, и уже по нему можно определить что это не простое приложение, а обыкновенная малварь.
Например рассмотрим разрешения для приложения:
Тут можно заметить, что приложение получает доступ к СМС, контактам, звонкам, интернету, работа приложения в спящем режиме.
Идём дальше, и видим привилегии, которые позволяют приложению становиться основным для получения\отправки смс, это злодеи используют для скрытия СМС сообщений на телефонах жертв.
Ну и конечно Ресивер, он служит для автозапуска сервисов, и перехвата СМС.
Права администратора, это уже намного интереснее. Приложению они нужны для блокировки удаления приложения (при включенных правах администратора, кнопки «удалить» у приложения просто не будет), так же эти права позволят удалить всё с устройства, блокировать девайс.
Ну и самое интересное, это Accessibility Service. Он используется для того, чтобы малварь могла сама кликать по экрану, и давать себе нужные разрешения, в том числе и админ права. Через это разрешение злоумышленники отслеживают все действия пользователя на устройстве.
Ну и остальные сервисы и активити, которые не представляют особого интереса без валидного адреса сервера малвари.
В общем малварь не использует ничего сверхъестественного, в ней нету ни использования каких либо 0-day на андроид. Злоумышленникам нужно добиться от жертвы включения одного разрешения, и не более, дальше малварь всё сделает сама.
Google надо бы ограничить некоторые возможности API для приложений не из плей маркета.
Receiver
Код данного класса обфусцирован, но это не мешает его изучить.
А теперь немного пояснений по коду.
Настройки малвари хранятся XML файле, файл находится в директории /data/data/имя_пакета/shared_prefs/Settings.xml
Так думаю код стал более понятен многим читателям.
У Receiver есть 3 триггера на срабатывание, а это при перезагрузке устройства, получении СМС или при запуске Alarmon.
Так же Receiver запускает 3 сервиса:
Так же Receiver запускает запрос отключения Doze Mode и запрос подтверждения прав администратора.
Так как малварь имеет привилегии администратора, его нельзя удалить с девайса пока не будут сняты права.
Права администратора
Давайте рассмотрим какие возможности мы имеем благодаря Admin Device.
элемент force-lock отвечает за права блокировки экрана девайса, а wipe-data за удаление раздела DATA, CACHE, и всей памяти на устройстве (его полный сброс).
Service_fa
На этом мы закончим рассматривать Receiver, и рассмотрим другие сервисы. Сервис который снимает данные с сенсорных датчиков используя класс SensorManager, этот сервис просто получает данные активности и сохраняет их в файл XML.
Благодаря этому злодеям получатся получить историю активности и произвести её анализ для отсеивания эмуляторов и особо ленивых пользователей.
Service_server
Этот поток создан для общения с сервером, данные передаются на сервер в зашифрованном виде используя алгоритм шифрования RC4 кодируя после него все в base64.
При запуске сервиса первый запрос на сервер выглядит так:
Данные отправляемые на сервер я заполнил случайным образом, по названию параметров думаю всё понятно, какой за что отвечает, по этому на их разборе останавливаться не будем.
Теперь смотрим какие могут быть ответы сервера, малварь проверяет возвращает ли пустой ответ, если да, то начинает перебирать массив доменов серверов в цикле, и отправлять этот запрос на каждый домен, и если в ответе будет строка == «
«, то малварь останавливается на этом домене и начинает работать с ним.
Мы определились с каким доменом работаем, теперь смотрим остальные ответы.
Если возвращается Response == «||youNeedMoreResources||» то сразу идет запрос на сервер для получения дополнительного модуля малвари:
gate_url?action=getModule&data=
Идем дальше, Response == «||no||»
отравляет на сервер запрос gate_url?action=registration&data=JSON:
Этот запрос служит для регистрации нового пользователя в админ панели, на этом запросы к серверу закончились.
Но ниже есть условие которое проверяет наличие файла «system.apk».
если файл присутствует, формируется JSON в виде:
В параметр response передается ответ с сервера, далее json передается в метод который находится модуле «system.apk» и с помощью класса DexClassLoader он выполняется.
Service_event_loop
Данный сервис работает в цикле и ждет команды на блокировку девайса. Девайс блокируется в цикле при помощи прав администратора.
Данный сервис умеет отключать права администратора, видимо автор малвари это решил сделать для «самоуничтожения» малвари, чтобы не оставлять следов на телефоне жертв.
Так же цикл имеет 2 скорости работы, 1 секунда и 8 секунд, если Accessibility Service отлючен, то работает на 1-й секунде и просит включить данный сервис, просто открывая Activity и заставляет включить специальные возможности, на практике подробно это рассмотрим.
В конце цикла также есть реализация как и в Service_server, а конкретне отправка команд в метод, который находится внутри подгруженного модуля «system.apk», но параметры не много другие, смотрим JSON:
tick — секунды которые считает цикл сервиса, accessibility — проверяет включен ли Accesibility Service.
Класс String(s)
Все строки внутри класс зашифрована алгоритмом RC4, после чего закодированы в base64.
зашифрованный строка: yyshybiwijujYzdkZDdkMjRlYjJmYjU5Y2Qw
где первые 12 символов страки это ключь расшифрования алгоритма RC4
Ключи: yyshybiwijuj
Зашифрованный текст: YzdkZDdkMjRlYjJmYjU5Y2Qw
Вот часть кода класса String(s)
Я написал скрипт, для преобразования данных строк в нормальный вид, это помогло мне скоротать немного времени.
Так же видим что в этом классе хранится:
URL сервера указан твиттер ресечера Lukas Stefanko(@LukasStefanko), видимо автор хотел пошутить или что-то сказать Лукасу (Это аналитик из NOD32), так же тут хранится имя Accessibility Service + то же название хранится в манифесте android:label=«Flash Player Service», и список стран, по которым не работает малварь.
Остальное
Кратко опишу работу инжектов. Она реализована просто, если включен Accessibility Service, то данный сервис просто ловит событие о запуске банковского приложения и запускает поверх активити банка свое активити, где оно имеет объект WebView который прогружает html-фейк банка, после чего получает данные с помощью JavaScript и отправляет данные на сервер малвари.
Так же в этом сервисе реализован Keylogger, блокировки удаления малвари и автоклик по подтверждениями. Было обнаружено взаимодействие отключения безопасности в приложение «com.miui.securitycenter». Это приложение называется «Безопасность» которые используется на девайсах Xiaomi, его основные задачи следить за безопасностью ваших конфиденциальных данных. Так же был обнаружен код для автоматического отключения «Google Play Protect» методом автоклика.
Перейдем к практике
Мне удалось найти твиттер злодеев и добыть скриншот админ панели
Устанавливаю apk-пакет на эмулятор с API 27.
На рабочем столе появилась иконка флеш плеера с названием «Flash Player»
Ждем по иконке, и у нас запускается малварь.
После запуска малвари, автоматический запускается Активити с требованием включения Accessibility Service, если свернуть ее, она появится снова и это происходит в цикле до тех пор пока я не включил сервис.
После включения галочки Accessibility Service, выполнился автоматический переход с настроек на рабочий стол, и больше у меня не получилось попасть в настройки Accessibility Service, также исчезла иконка с рабочего стола, через несколько секунд появился запрос отключения Doze Mode, он автоматически отключился благодаря автоклику специальных возможностей.
Cледом таким же образом было авто подтверждения прав администратора. Удалить малварь в ручном режиме не удалось так как при открытие настроек данного приложение был автоматический выход назад (GLOBAL_ACTION_BACK).
Собственно это все по первой части, в скором времени напишу вторую часть с дополнительным а возможно с основным модулем данного бота, так как найти apk файл малвари с валидной ссылкой на сервер мне не удалось.
Реверс малвари был реализован совместно с keklick1337
Malwarebytes for Android
Эффективная защита устройств Android от вредоносного ПО, программ-вымогателей и других быстро развивающихся угроз.
Феноменальная космическая защита. Крошечный объем памяти.
Люди, которым Вы доверили безопасность своего компьютера, теперь предлагают мощное средство защиты мобильных устройств. Программа Malwarebytes for Android автоматически выявляет и удаляет опасные объекты, например вредоносное ПО и программы-вымогатели, поэтому теперь Вы можете быть абсолютно уверены в безопасности устройства, которое сопровождает Вас всегда и всюду. Благодаря агрессивным алгоритмам обнаружения рекламного ПО и потенциально нежелательных программ Ваш телефон и планшетный компьютер Android будут работать безотказно. А система проверки приватности сможет точно определить, какие приложения пытаются отслеживать каждое Ваше движение. И вся эта защита использует минимальные ресурсы устройства.
Феноменальная космическая защита. Крошечный объем памяти.
Люди, которым Вы доверили безопасность своего компьютера, теперь предлагают мощное средство защиты мобильных устройств. Программа Malwarebytes for Android автоматически выявляет и удаляет опасные объекты, например вредоносное ПО и программы-вымогатели, поэтому теперь Вы можете быть абсолютно уверены в безопасности устройства, которое сопровождает Вас всегда и всюду. Благодаря агрессивным алгоритмам обнаружения рекламного ПО и потенциально нежелательных программ Ваш телефон и планшетный компьютер Android будут работать безотказно. А система проверки приватности сможет точно определить, какие приложения пытаются отслеживать каждое Ваше движение. И вся эта защита использует минимальные ресурсы устройства.
Обнаруживает программы-вымогатели до того, как им удастся заблокировать Ваше устройство
Система защиты в реальном времени ограждает Ваше устройство от вирусов. Сегодня, когда вредоносное ПО все чаще проникает на мобильные устройства, только совершенные технологии способны дать отпор программам-вымогателям и другим опасным «непрошеным гостям», прежде чем они станут причиной проблем.
Android malware что это
Краткое описание:
Мобильный антивирус MBAM для смартфонов и планшетов, который защищает ваше устройство от вредоносных приложений и файлов.
Приложение может защитить ваш смартфон или планшет от всех видов мобильных вредоносных приложений и угроз конфиденциальности.
С использованием передовых технологий, используемых в аналоге для ПК, Malwarebytes Anti-Malware Mobile можете быстро сканировать все файлы на вашем мобильном устройстве и сказать вам, если определить зараженные или подозрительные приложения, помогая вам устранить угрозу.
Функции проверки по требованию и защиты в реальном времени, обеспечивают безопасное использование Adnroid-устройства.
Основные преимущества Malwarebytes Anti-Malware Mobile
• Обнаруживает и уничтожает вредоносные приложения, включая шпионское ПО и трояны
• Сканирование ваших приложений на наличие вредоносного кода
• Останавливает несанкционированный доступ к вашим персональным данным
• Сканирует Android-устройство на наличие уязвимостей
• Определяет приложения, отслеживающее ваше местоположение
• Является бесплатным
Основные возможности Malwarebytes Anti-Malware Mobile:
Антивирус и антишпион
— Проактивно сканирует приложения и файлы на наличие вирусов и шпионского ПО.
— Сканирует памяти Android-устройства и SD-карту.
— Автоматическое сканирование по расписанию.
— Автоматическое обновление антивирусной базы данных.
Управление конфиденциальностью
— В подробностях определяет доступ каждого приложения к конфиденциальным данным.
— Разделяет приложения по следующим категориям доступа к конфиденциальным данным: Contacts, Identity Information, Simple Message Service (SMS) и Security Settings.
Аудит безопасности
— MBAM Mobile обнаруживает уязвимости, влияющие на безопасность вашего Android-устройства, предлагая исправления.
— Позволяет управлять функцией определения местоположения устройства встроенной службы Android Device Manager, так что ваш смартфон или планшет может быть удаленно обнаружен, заблокирован или сброшен на заводские настройки в случае потери или кражи.
Менеджер приложений
— Определяет какие приложения запущены в настоящий момент.
— Определяет установленные приложения.
— MBAM Mobile включает настраиваемый Белый список разрешенных приложений.
Русский интерфейс: Да
Требуется Android: 6.0+