Отправляемся на минное поле за минами

После лабораторной работы по реверсу android-приложения, которую я выполнял в рамках стажировки в PT, меня сильно увлекла эта область. Совсем скоро я возьмусь за развёрнутый пост о ревёрсинге android-вредоносов в Santoku Linux, а пока очень короткий пост о том, как сходить на минное поле и принести оттуда мин.

Чтобы разжиться android-трояном можно быть удачливым, как я, и выхватить его из рекламной сети Google. Можно подождать, пока кому-то из знакомых придёт ссылка на вредонос или друзья друзей скачают apk-файл, после чего передадут его Вам на изучение. Можно, в конце концов, выложить что-то на продажу на Avito и ждать сообщение с забавной ссылкой. Но это довольно долго.

Я думал о том, как бы собрать за раз целый ворох семплов, но их не раздают на каждом углу. И тут я вспомнил про пост, который писал когда-то. Там я «взял на заметку» киберприступников, которые предложили мне поменяться с ними чем-то там на Avito. Я, на всякий случай, загуглил домен, с которого тогда можно было скачать троян и это сработало!

Домен упоминался на сайте, где люди делятся друг с другом информацией о том, какие номера телефонов принадлежат мошенникам, чьи трубки не брать и на чьи сообщения не отвечать. Администраторы портала не скупятся на развёрнутые устрашающие сообщения, предупреждающие юзеров о том, что по ссылкам из СМС ходить не стоит. В этих страшилках упоминается «Android.BankBot». Выглядит, как готовый гуглодорк:

site:zvonki.octo.net Android.BankBot

Запрос приводит в тему, где уже 217 страниц посвящены сообщениям, в которых людям приходят ссылки на android-вредоносы! Это же настоящий клад. Трояны, нацеленные на русскую аудиторию, да ещё и вместе с действующими доменами, с которых они распространяются. Вот ссылка на тему, но неизвестно, сколько она просуществует. Притворяемся браузером android-телефона и начинаем ходить по всем ссылкам, которые люди только упоминают в сообщениях темы. На момент написания поста, ссылки аж на 4 последних страницах темы ещё являются рабочими. Главное, не забывать менять юзер-агент, ибо распознав десктоп многие сайты притворятся шлангом и редиректнут на легитимный ресурс. Возможно, потребуется в настройках браузера заставить его заткнуться по поводу небезопасности посещаемых страниц.

Несмотря на то, что трояны дублируются, спустя несколько минут у меня уже целый ворох семплов, ревёрсинг которых и станет основой будущего поста.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *