- СМС-бот Android.SmsBot.65.origin — самая распространенная вредоносная программа апреля
- Предыдущие новости
- SMS-бот для Android – лидер по числу попыток заражения мобильных устройств
- android.smsbot.747.origin
- #1 Teddy2
- #2 Doctor_DIY
- #3 efgr4tg34
- #4 Teddy2
- #5 efgr4tg34
- #6 Lvenok
- #7 efgr4tg34
- #8 efgr4tg34
- Анализ sms-бота для Android. Часть I
- Анализ sms-бота для Android. Часть I.
СМС-бот Android.SmsBot.65.origin — самая распространенная вредоносная программа апреля
Дата: 2014-05-06 13:43
Статистика, собираемая специалистами компании «Доктор Веб» с использованием Антивируса Dr.Web для Android свидетельствует о том, что интерес злоумышленников к популярной мобильной платформе от Google не ослабевает. Так, в апреле 2014 года мобильный антивирус обнаружил на устройствах пользователей без малого 7 млн вредоносных, нежелательных и потенциально опасных приложений.
Всего в период с 1 по 29 апреля на мобильных устройствах пользователей было зафиксировано 6 815 293 срабатывания Антивируса Dr.Web для Android. Как и прежде, наиболее часто антивирус обнаруживал ПО, которое содержало различные модули, предназначенные для монетизации приложений и демонстрирующие на устройствах пользователей всевозможные сообщения рекламного характера. Среди таких модулей следует упомянуть Adware.Airpush, Adware.Revmob, Adware.Leadbolt и др. Наиболее распространенной вредоносной программой в апреле оказался СМС-бот Android.SmsBot.65.origin — он был выявлен на 262 267 инфицированных Android-устройствах, вторую строчку в этом своеобразном рейтинге занимают СМС-троянцы Android.SmsSend.1088.origin и Android.SmsSend.458 с показателем 138 407 зараженных смартфонов и планшетов.
При обнаружении какой-либо угрозы 47% пользователей сразу же деинсталлировали вредоносную программу, а 38,6% удаляли из памяти устройства .apk-файл еще до установки приложения, если в нем обнаруживался вредоносный или нежелательный компонент.
На инфицированных вредоносными программами мобильных устройствах в подавляющем большинстве случаев была установлена операционная система Google Android версии 4.1.2. На втором месте по числу заражений — Android 4.2.2, на третьем — Android 4.3.
Предыдущие новости
Фальшивые антивирусы сегодня все чаще стали появляться в магазинах мобильных приложений. Так, совсем недавно в двух разных источниках официальных приложений для мобильных устройств «Лаборатория Касперского» обнаружила сразу две поддельные программы, грубо имитирующие ее собственные разработки. Первая подделка была найдена в Windows Phone Store, что необычно — мошенники чаще.
По итогам первого квартала 2014 года доля спама в почтовом трафике составила 66,3%, оказавшись, таким образом, на 6,4% ниже, чем в последние три месяца 2013 года. Однако по сравнению с аналогичным периодом в 2013 году снижение доли нежелательных сообщений совсем незначительно — всего на 0,2%. К таким выводам пришли эксперты «Лаборатории Касперского» после анализа спама за первые.
Выпущено обновленное приложение BitTorrent Sync для Android. Оно является клиентом одноименного приложения для синхронизации данных между несколькими устройствам, без загрузки файлов на удаленный сервер. При помощи приложения можно получать доступ ко всем синхронизируемым папкам других устройств, добавлять контент с Android в синхронизируемые папки, выполнять автоматический бекап.
Patriot Memory расширила ассортимент USB-накопителей двумя моделями, Stellar Boost XT и Stellar Lite. Особенностью обеих является наличие двух разъемов (USB и Micro-USB) и возможность работы с мобильными устройствами — планшетами и смартфонами. Stellar Boost XT — пока один из немногих накопителей USB OTG, поддерживающих интерфейс подключения USB 3.0. По данным производителя.
Источник
SMS-бот для Android – лидер по числу попыток заражения мобильных устройств
По данным компании «Доктор Веб», которая провела исследование с помощью антивируса Dr.Web для Android, в последнее время все большее распространение стал получать один из представителей семейства вредоносных программ Android.SmsBot.
Согласно полученной с использованием Антивируса Dr.Web для Android статистике, число детектирований троянца Android.SmsBot.120.origin на мобильных устройствах пользователей за последний весенний месяц 2014 года составило 235 516. По этому показателю данная вредоносная программа занимала лидирующее положение среди всех обнаруженных в мае троянцев.
В течение всего июня мобильный антивирус Dr.Web для Android продолжал фиксировать рост количества попыток проникновения этого вредоносного приложения на устройства пользователей, и к концу месяца суммарное число его детектирований составило уже 670 422, показав рост на 227% по сравнению с прошлым периодом наблюдения. Таким образом, в прошедшем месяце Android.SmsBot.120.origin вновь стал самым «популярным» троянцем и обнаруживался на устройствах пользователей в 11% случаев.
Данный троянец представляет собой весьма распространенный в настоящее время тип вредоносных программ, способных принимать команды от злоумышленников, а также предназначенных для выполнения самой разнообразной вредоносной деятельности. В частности, Android.SmsBot.120.origin может отправлять, перехватывать и удалять SMS-сообщения, открывать в браузере заданные веб-страницы, получать координаты устройства и даже производить удаление определенных приложений.
В большинстве случаев троянец распространяется киберпреступниками под видом видеороликов категории «для взрослых», однако встречаются и варианты, выдающие себя за легитимное ПО, а также различные музыкальные файлы, поэтому владельцам Android-устройств следует соблюдать осторожность и воздержаться от загрузки сомнительного контента.
Напомним, что недавно глава отдела Security Research Group компании IBM Рои Хэй заявил об уязвимости в сервисе Android KeyStore, которая затрагивает 86% мобильных Android-устройств. Данная уязвимость в системе позволяет злоумышленникам получить доступ к данным банковских карт, узнать пароли и даже PIN-код блокировки экрана смартфонов и планшетов.
Источник
android.smsbot.747.origin
#1 Teddy2
Здравствуйте. На сотовом завелся вирус, dr. web определяет как android.smsbot.747.origin, касперский как Trojan.AndroidOS.Whatreg.b
путь: System Contact base.apk /data/app/org.android.contact.person-1
На телефоне сами устанавливаются приложения, а так же был сделан международный звонок за мой счет(
После перепрошивки телефона вирус восстанавливается.
#2 Doctor_DIY
Здравствуйте. На сотовом завелся вирус, dr. web определяет как android.smsbot.747.origin, касперский как Trojan.AndroidOS.Whatreg.b
путь: System Contact base.apk /data/app/org.android.contact.person-1
На телефоне сами устанавливаются приложения, а так же был сделан международный звонок за мой счет(
После перепрошивки телефона вирус восстанавливается.
Помогите избавиться
#3 efgr4tg34
У меня идентичная ситуация. Сбрасывал телефон, перепрошивал. Через некоторое время опять появляется. В списке приложений отображается как «system contact». Мой аккаунт в WhatsApp заблокировали, подозреваю, что этот троян или установленные им рассылали спам.
Аппарат: Highscreen boost 3 se pro
Сообщение было изменено efgr4tg34: 19 Июль 2021 — 17:07
#4 Teddy2
Тогда похоже что вирус встроен в прошивку самим производителем. Можете либо поискать чистую прошивку, или под рут правами вычистить заразу. Ещё бы не помешала информация о модели смартфона, может быть другие люди также сталкивались с вашей проблемой, что поможет вам скорее найти решение.
Телефону уже 4 года и только сейчас вылезло.
У меня идентичная ситуация. Сбрасывал телефон, перепрошивал. Через некоторое время опять появляется. В списке приложений отображается как «system contact». Мой аккаунт в WhatsApp заблокировали, подозреваю, что этот троян или установленные им рассылали спам.
Аппарат: Highscreen boost 3 se pro
Тоже началось все с блокировки WhatsApp. После обращения в техподдержку по адресу support@whatsapp.com аккаунт разблокировали и среди последних чатов обнаружились три левых с сообщениями «Ок». Видимо так троян и пролез. Сейчас пока, после очередной прошивки вирус не обнаруживается
#5 efgr4tg34
Перепрошил свой Highscreen boost 3 se pro самой первой версией (BF167_BOOST3-SE-PRO_L002). Двое суток, заражения пока нет.
Обратил внимание, что попытка проверки онлайн обновления приводит к ошибке «Ошибка подключения к сети», т.е. можно сделать вывод, что URL для обновления в новых версиях прошивок были изменены.
Подозреваю, что троян проникает именно через функцию проверки обновления ПО, тем более что Dr.Web ругался на .apk программы обновления, емнип «Trojan downloader».
#6 Lvenok
Перепрошил свой Highscreen boost 3 se pro самой первой версией (BF167_BOOST3-SE-PRO_L002). Двое суток, заражения пока нет.
Обратил внимание, что попытка проверки онлайн обновления приводит к ошибке «Ошибка подключения к сети», т.е. можно сделать вывод, что URL для обновления в новых версиях прошивок были изменены.
Подозреваю, что троян проникает именно через функцию проверки обновления ПО, тем более что Dr.Web ругался на .apk программы обновления, емнип «Trojan downloader».
#7 efgr4tg34
На оф сайте была битая ссылка. Сообщил в поддержку, выкатили ссылку для другой версии железа
В итоге я прошил последней версией BF167_BOOST3-SE-PRO_L010 и сразу же удалил пакет обновления:
pm uninstall -k —user 0 com.adups.fota
Вторые сутки, полёт нормальный. Заражения пока нет.
Просмотрел в плей-маркете историю установленных приложений. Около двух десятков какой-то дряни с аляпистыми ярлыками. В комментариях народ негодует, что устанавливаются без ведома, вирус.
Есть догадка, что фирмачи прошляпили домен, который использовался для обновления. Highscreen вообще похоже глохнет. Может из сотрудников кто-то продался.
Сообщение было изменено efgr4tg34: 29 Июль 2021 — 23:09
#8 efgr4tg34
Источник
Анализ sms-бота для Android. Часть I
Анализ sms-бота для Android. Часть I.
Введение
Знакомимся с манифестом
Открыв манифест, сразу же обратим внимание на системные разрешения, которые показались мне более интересными:
Итак, наш бот считывает состояние телефона, обрабатывает звонки, производит запись на флешку, писать/читать/получать/отправлять СМС-ки, читать базу контактов и записывать аудио. Интересно…
Далее, по манифесту. Видим следующий код:
Видим, что объявлены:
- сервисы AService и webService,
- ресиверы Alarm, AutoStart, MyPhoneReceiver(следит за состоянием телефона, скорее всего за звонками), MyAdmin (бот хочет админить устройство).
Анализ манифеста на этом закончим. Просмотрел файлы ресурсов, ничего интересного не нашел. Теперь давайте перейдем к анализу полученного java-кода.
Анализируем код
Бот состоит как минимум из 19 основных рабочих классов. В результате анализа я выделил самые основные и интересные классы, которые отвечают за вредительскую деятельность бота:
- — AutoStart.java;
- — aService.java;
- — smsParser.java;
- — smsReciever.java;
- — webServiceRobot.java;
MainActivity.java
Перед тем как начать анализ вышеуказанных классов, давайте заглянем в класс MainActivity. Посмотрим, что там есть интересного.
Сразу же при загрузке, бот пытается:
- Все приходящие СМС-ки направить в SmsReciver;
- Запускает службы AService и webService.
Далее, по коду видим еще интересную вещь:
Видно, что бот пытается добавить себя как еще одного администратора устройства.
Внимание! Обманный маневр.
Дальше в MainActivity.java запускает много разных шаблонов для отвода глаз пользователя, прикидываясь при этом приложением, которое якобы сканирует телефон на всякого рода мобильные уязвимости, а также якобы самообновляется. И вся эта красота дается на португальском языке, с указанием какого-то австралийского банка.
На самом деле не происходит никакого сканирования телефона, скачивания сертификатов и т.д. Запускаются лишь шаблоны пустышки, которые имитируют бурную деятельность. Вот пример такой пустышки:
Запускается Асинтаск, а там таймер, который просто запускается и… ничего не делает!
Ресивер AutoStart
Данный ресивер начинает свою работу сразу же после загрузки телефона и запускает те же действия, что были MainActivity:
Служба aService
Данный сервис, фильтруя события, регистрирует и запускает ресивер smsReciever, который в свою очередь будет получать и обрабатывать все полученные СМС-ки (но о нем чуть позже).
Вот и доказательства:
smsReceiver и smsParser
Теперь переходим к более интересным кускам кода бота. Это ресивер smsReceiver и отдельный класс для идентификации кодов из СМС-ок и веб-админки.
Привожу очень урезанный кусок кода из smsReceiver:
Я думаю, что подробные комментарии не нужны. Из кода видно что:
- Устанавливаются флажки на начало/остановку записей телефонных звонков;
- Отправка СМС;
- Отправка списка смс-ок;
- Отправка списка звонков;
- Затирании инфы и др.
localsmsParser ключевой элемент. Поэтому дальше давайте поглядим на класс smsParser:
По этим константам мы можем понять какие функции может выполнять наш бот. Одни и те же команды даны в строковом и цифровом виде. Скорее всего, происходит проверка на то, из какого источника идут команды (СМС или интернет).
webServiceRobot
Данный класс похож на smsReceiver с тем отличием, что обрабатывает http-запросы. Выполняются практически все те же действия:
- Отправка СМС;
- Отправка списка смс-ок;
- Отправка списка звонков;
- Затирании инфы и др.
Плюс отправка полной информации об устройстве на сервер.
Выводы
Уважаемые господа, рады Вам предложить бота под мобильные устройства. В данный момент бот реализован под операционную систему Android, так же рады вам сообщить, что разработка Blackberry ведется полным ходом, и первые бета версии будут в ближайший месяц, всем клиентам по Android боту на Blackberry будут существенные скидки.
Теперь вкратце расскажу как это работает, для тех кто не знает, после установки на мобильное устройство, приложение моментально отстукивает в удобную web-panel при наличии 3g или wi-fi, а так же отсылает SMS на управляющий номер с текстом I am (ICCID+MODEL PHONE). Наш бот реализован таким образом, что после попадания в систему юзер продолжает спокойно пользоваться своим телефоном, все функции ему доступны в штатном режиме. В отличии от знаменитого Perkele у нас нет заточки под определенные номера для перехвата, наш бот работает через систему команд. Команды даются любым удобным для Вас способом, либо из web panel при наличии интернета, либо SMS с управляющего номера.
Функционал:
Итак, данный софт продается, цена бота 4к, в комплекте вы получаете админскую панель настроенную на вашем сервере+управляющий веб номер+файл .apk с уникальным интерфейсом, разработанным под Ваши нужды, а так же постоянную поддержку продукта. Так же, готовы рассмотреть варианты аренды и совместной работы за процент (просьба не стучать, если у вас нету инжектов и вы не знаете, как это применять). За более подробной информацией пишите мне в ПМ свой jabber для контакта, GPG и OTR жизненно необходимы.
Уважаемые господа. Вышел UPDATE под Android. Всем клиентам стукнуть за обновлением и ждем новых клиентов.
Что нового?
- Теперь наше приложение крайней сложно удалить. При установке приложения софт запрашивает права админа устройства, если холдер ему их предоставляет, то приложение будет удалить крайне муторно, службы будут перезапускаться и вы не потеряете данного бота. Если же не предоставят, то приложение как и раньше будет работать в штатном режиме. Для вашего удобства в админ панели появился индикатор, показывающий даны админ права или нет.
- Если предоставили права админа, то есть возможность снести телефон командой до заводских настроек
Источник
