Гайд по написанию защищенных приложений для Android, трояны, шифровальщики и обход Certificate Pinning

Приложения

• Underburn — подстраивает яркость экрана под текущее изображение. Если фон запущенного приложения преимущественно белый — яркость станет ниже, если темный — будет увеличена.
• Smali Patcher — модуль Magisk, который позволяет подделывать текущее местоположение, делать снимки экрана во всех приложениях (в том числе в банковских клиентах и секретных чатах «Телеграма») и отключает проверку цифровой подписи пакетов. Последнее может пригодиться, если ты хочешь установить модифицированную версию встроенного в прошивку приложения.
• LaunchBoard — позволяет быстро запускать приложения с помощью набора первых букв имени.
• detect.location — открытое приложение для iOS, позволяющее получить полную историю перемещений смартфона с помощью анализа метаданных фотографий.

Инструменты

• ODA — онлайн-дизассемблер, поддерживающий более сотни платформ и форматов файлов.
• vdexExtractor — утилита для извлечения и декомпиляции файлов формата Vdex, который с Android 8 используется для хранения байт-кода предустановленных приложений.
• Androl4b — образ виртуальной машины с набором инструментов для пентестинга. Включает в себя Radare2, Frida, Bytecode Viewer, Apktool, Wireshark и множество других утилит. Основан на Ubuntu Mate 17.04.
• SandBox-Dumper — инструмент для выяснения точного местоположения песочницы приложения в iOS.

Почитать

Фейковые клиенты Poloniex в Google Play

Fake cryptocurrency trading apps on Google Play — рассказ о двух зловредах в Google Play, маскирующихся под клиент Poloniex.

В целом все достаточно просто. Приложение запрашивает логин и пароль от Poloniex, затем выводит фейковое окно с просьбой ввести логин/пароль Gmail якобы для прохождения двухфакторной аутентификации. После этого начинается слив средств на сторону, а все уведомления от Poloniex на email глушатся благодаря доступу к Gmail (разумеется, если почта на другом сервисе, трюк не сработает).

Защититься от зловреда, как всегда, несложно:

1. Не устанавливать что попало на смартфон.
2. Всегда и везде включать двухфакторную аутентификацию.

Шифровальщик, блокирующий смартфон

DoubleLocker: Innovative Android Ransomware — разбор шифровальщика, который не только шифрует данные, но еще и блокирует смартфон PIN-кодом. ESET заявляют, что это первый зловред такого типа, но, учитывая простоту идеи и ее реализации, веришь в это с трудом.

DoubleLocker распространяется через различные (в том числе взломанные) сайты под именем Adobe Flash Player. Сразу после запуска он просит пользователя дать доступ к функциям Accessibility. Затем он меняет установленный пользователем PIN-код на случайный и устанавливает себя в качестве дефолтового лаунчера. Последнее действие нужно, чтобы получать управление каждый раз, когда пользователь нажимает кнопку «Домой». Также DoubleLocker шифрует все файлы на карте памяти с использованием алгоритма AES, добавляя к ним расширение .cryeye.

Чтобы получить доступ к своему смартфону и данным на карте памяти, юзер должен заплатить 0,0130 BTC. После этого файлы будут расшифрованы, а PIN-код сброшен.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

-60% 1 год 9990 рублей 4000 р.

1 месяц 920 р.

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»