За последний месяц нашумевший вирус Asacub заразил более 200 тысяч пользователей Android. Он прилетел прямо ко мне в руки. Попробуем вместе заглянуть в его сердце и найти хозяина.

Как показывает статистика, в России на сегодняшний день 70% мобильных устройств работают на Android. Среди наиболее распространенных вариантов атак на них: блокировка устройства с требованием выкупа, кибершпионаж и кража денег с банковских карт и счетов. Поскольку у каждого уважающего себя банка есть мобильное приложение для Android, неудивительно, что их пользователи становятся мишенями для злоумышленников.

 

Заражение

Итак, одним холодным осенним вечером ко мне на телефон поступает сообщение: «Вам пришло уведомление mms: fotowy.me/84rt от Оксана». Совершенно очевидно, что это вирус, потому что с Оксаной я давно не общаюсь. Конечно же, многим известно, что любые ссылки в сообщениях — это зло. Мне стало интересно, кто решил взломать мой BlackBerry и кто вообще сегодня на это ведется.

После перехода по ссылке открывается страница с предложением посмотреть фотографию той самой Оксаны.

Страница fotowy.me/84rt
Страница fotowy.me/84rt

Некогда размышлять — нажимаем! Сразу же начинается скачивание файла photo_34778_img.apk. Как нас просят на сайте, разрешаем установку с неизвестных источников и устанавливаем apk. Вот как выглядит приложение «СМС-фото». В том, что фотография вдруг оказалась приложением, конечно, нет ничего странного.

Иконка приложения «СМС-фото»
Иконка приложения «СМС-фото»

Но мы все еще не увидели фотографию Оксаны! Нам ведь очень хочется ее посмотреть, поэтому запускаем «СМС-фото», и наконец-то Оксана предстает перед нами во всей красе! Или нет. Никакой фотографии так и не вышло, приложение исчезло из списка, в уведомлениях появилось «Системное приложение».

Уведомление «Системное приложение»
Уведомление «Системное приложение»

Через несколько секунд появляется окно «Системная неполадка». Звучит страшно.

Окно «Системная неполадка»
Окно «Системная неполадка»

Нажимаем «Перейти к настройкам». И соглашаемся «Use Системное приложение».

Окно «Use Системное приложение»
Окно «Use Системное приложение»

Установленное приложение банка сразу замечает что-то неладное (в отличие от нас).

Уведомление от приложения Сбербанка
Уведомление от приложения Сбербанка

Пытаемся запустить его, но оно тут же закрывается.

Окно с сообщением о вирусе
Окно с сообщением о вирусе

Оказывается, это никакая не фотография, а банковский троян Asacub! Антивирусы говорят то же самое.

Некоторые принципы работы Asacub уже были рассмотрены в исследовании «Лаборатории Касперского». Увы, множество людей не в курсе элементарной безопасности Android. Asacub заражает в день более 40 тысяч смартфонов.

Вот наиболее распространенные сообщения для заражения:

  • «Юзернейм, посмотри фотографию по ссылке»;
  • «Юзернейм, тебе пришло MMS-сообщение от Васи»;
  • «Юзернейм, интересует обмен Авито?»;
  • «Юзернейм, и тебе не стыдно после этого?!».

А теперь без шуток попробуем посмотреть подробнее, что за зверь Asacub.

 

Статический анализ. Декомпилируем вирус

Инструменты: Android Studio, JaDX

Статический анализ включает в себя декомпиляцию приложений и просмотр исходного кода для дальнейшего анализа действий вируса. Сначала воспользуемся JaDX для декомпиляции apk. Часто исходники могут быть кривыми, но для анализа этого достаточно. Скачиваем и устанавливаем.

$ ls -l
$ git clone https://github.com/skylot/jadx.git
$ cd jadx
$ ./gradlew dist

Запускаем графический JaDX.

$ ls -l
$ cd build/jadx/
$ bin/jadx-gui lib/jadx-core-*.jar

Выбираем File → Open → photoimg.apk. Видим исходники.

Исходники в JaDX
Исходники в JaDX

Но удобнее работать с ними в Android Studio. Сохраняем как проект и импортируем в Android Studio. Пробежимся по AndroidManifest.xml. Смотрим права приложения.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

3 комментария

  1. Mr-r00t

    28.09.2018 at 18:49

    Познавательно. Вот еще-б тельцо на растерзание. )

    • Айгуль C.

      28.09.2018 at 21:13

      Если добавить /mms в конце домена, то можно кое куда попасть. Но я не призываю никого скачивать вредонос! Не переходите по ссылке)

  2. Veneficus

    14.10.2018 at 19:22

    Очень интересный анализ. Заслуживает уважения. Не встречал девушку-хакера) Если б с Вами можно было связаться я бы сделал Вам небольшое деловое предлоежение..

Оставить мнение

Check Also

Целенаправленная социальная инженерия. Нестандартные техники введения в заблуждение

В предыдущей статье мы разобрали массовые атаки. Но их применимость ограничена: пентестер …