LINUX.ORG.RU
ФорумSecurity

Чем и как реверсить китайский вирус?

 ,


0

4

История следующая: заказали сестре телефон с китая cubot echo, пришёл, работает отлично, но спустя какое-то время пользования doctor web находит вирус в файле /system/app/CallerIdSearch/CallerIdSearch.apk. Скачал директорию на комп, там лежал этот файл и ещё один ./oat/armCallerIdSearch.odex. virustotal тоже показывает, что вирус https://virustotal.com/en/file/a6e09048369cdff4f092c445164e179f8013ea6265cd47... https://virustotal.com/en/file/801d5d45507a2257565ac90e12ae00088e9651233dde56.... Утилита file показала 

CallerIdSearch.odex: ELF 32-bit LSB shared object, ARM, EABI5 version 1 (GNU/Linux), dynamically linked, stripped

strings CallerIdSearch.odex |grep http
находит 
http://alog.umeng.co/app_logs
http://alog.umeng.com/app_logs
http://ciddb.iappgame.com/
http://log.umsns.com/
http://log.umsns.com/share/api/
http://www.google-analytics.com/collect
https://ssl.google-analytics.com/collect
В китайском не силён, в переводе переведённого гугл транслейтом текста на русский тоже, но похоже на какой-то сервис обработки данных. Вот этот адрес http://ciddb.iappgame.com/ вообще странный, по нему открывается xml файл с какими-то странными данными. Дальше решил разобрать apk, декомпилировал с помощью jadx и получил частично обфусцированные исходники. В файле AndroidManifest.xml нашлись строчки 
<meta-data android:name="UMENG_APPKEY" android:value="56259ea3e0f55a5c17006ab0" />
<meta-data android:name="UMENG_CHANNEL" android:value="" />
<meta-data android:name="MP_FY_APPKEY" android:value="ZW26RFW7883RDVXCGV38" />
вероятно api ключи от тех сайтов. Структура файлов следующая https://pastebin.com/wzNVVKqX или если смотреть только директории 

.
├── assets
│   └── d
├── com
│   ├── android
│   │   ├── service
│   │   └── tools
│   │       └── callassistant
│   │           ├── p004a
│   │           ├── p005b
│   │           ├── phone
│   │           ├── report1
│   │           └── update
│   ├── google
│   │   ├── analytics
│   │   │   └── tracking
│   │   │       └── android
│   │   ├── android
│   │   │   └── gms
│   │   │       ├── analytics
│   │   │       │   └── internal
│   │   │       └── common
│   │   │           └── util
│   │   └── gson
│   │       ├── annotations
│   │       ├── internal
│   │       │   └── bind
│   │       ├── reflect
│   │       └── stream
│   ├── p002a
│   │   └── p003b
│   └── umeng
│       └── analytics
│           └── social
├── original
│   └── META-INF
├── p000a
│   └── p001a
└── unknown

Лёгкий grep по исходникам находит те же url'ы, один из них в файле /com/umeng/analytics/AnalyticsConstants.java 

package com.umeng.analytics;

/* renamed from: com.umeng.analytics.a */
public class AnalyticsConstants {
    public static final String f1289a = "Android";
    public static final String f1290b = "Android";
    public static final String f1291c = "5.6.1";
    public static final String f1292d = "5.6.1.0";
    public static final String f1293e = "MobclickAgent";
    public static final String[] f1294f;
    public static final long f1295g = 86400000;
    public static final long f1296h = 3600000;
    public static final boolean f1297i = false;
    public static final int f1298j = 64;
    public static final int f1299k = 32;
    public static final int f1300l = 64;

    static {
        f1294f = new String[]{"http://alog.umeng.com/app_logs", "http://alog.umeng.co/app_logs"};
    }
}
Как ещё можно препарировать этот китайский подарок? Может есть песочницы, которые покажут, что делает приложение? P.S. Если есть желающие заняться реверсом, велкам http://itm.d3d.info/static/core/somethinginteresting/app.zip http://itm.d3d.info/static/core/somethinginteresting/sources.zip

Void Linux: это че за хрень?
Что за base64?
Ответ на: комментарий от Deathstalker

Кстати, видимо случай не единичный, т.к. по фразе CallerIdSearch.apk гуглится немало жалоб об этом вирусе и от владельцев других моделей.

devalone ★★
() автор топика

А вот не экономил бы на сестре...

А если серьезно, чистого ведра не накатить, да?

dk-
()
Ответ на: комментарий от dk-

А если серьезно, чистого ведра не накатить, да?

А так можно что-ли? На каждом устройстве же своё оборудование. Насколько сложно будет собрать андроид из говна и палок? Никогда подобным не занимался.

devalone ★★
() автор топика

Ну да, у меня cubot gt89, так там вечно что то при наличии интернета само ставилось, причем не из маркета и реклама на весь экран. Пока всякие gamecenter.apk и tomato.apk и прочее подобное не удалил, так все и было. Подвальные телефоны типа этого cubot имеют свойство иметь в прошивке кучу подобного.

karton1 ★★★★★
()

Собрать свою прошивку довольно тяжело, на китайца не от васянов врядли что есть (а от васянов опаснее чем от китайцев). Самое простое — получить рут, раскурочить и выкорчевать всю гадость. Но тут новая подлянка — рутованный смарт сам по себе здоровенная дыры в безопасности, так что сестре или придется быстро овладеть правилами «айти-гигиены» (я со своим братом долго мучался), или лучше избавиться от этого смарта пока он новый и не коцаный — продадите подороже, может даже не в убыток.

mandala ★★★★★
()
Ответ на: комментарий от karton1

google намекнул MTK, что они не правы, и те быстренько всё открыли.

Ford_Focus ★★★★★
()

Отсюда вывод: брать нужно только тех китаёз, для которых есть уже готовый CiannogenMod на 4pda.

Остальных слать лесом.

anonymous
()
Ответ на: комментарий от dk-

у кого-то суп жидкий, у кого-то жемчуг мелкий

китаефон по почте можно купить за 3 (Три) тысячи российских рублей.

https://mysku.ru/blog/discounts/51777.html

greenman ★★★★★
()
Последнее исправление: greenman (всего исправлений: 1)

История следующая: заказали сестре телефон с китая cubot echo

Ты ненавидишь свою сестру? Зачем покупать ей некачественные и хреновоработающие вещи? Купи телефон нормального и более-менее проверенного бренда.

Циан под этот девайс есть хоть?

EXL ★★★★★
()
Ответ на: комментарий от karton1

квалки хоть не жадные, так отдают.

Qualcomm это американская капиталистическая компания, они уважают собственные лицензии, даже те что свободные.

А MTK это китайская «коммунистическая» компания, тысячи таких компаний в Китае, девиз которых «украл и закрыл от других — ты молодец, обманул лаоваев».

EXL ★★★★★
()
Ответ на: у кого-то суп жидкий, у кого-то жемчуг мелкий от greenman

китаефон по почте можно купить за 3 (Три) тысячи российских рублей.

Скупой платит дважды. А учитывая то, что уровень SAR в китайском ноунеймовом дерьме никто никогда не проверяет, а китайские инженеры лепят антенны абы как, то заплатит он своим здоровьем.

P.S. в теме этого китайца на 4pda нету никаких кастомных ромов, только мод официальной прошивки. Зачем нужно было покупать такое унылое устройство? Вижу только одну причину — жадность.

EXL ★★★★★
()
Последнее исправление: EXL (всего исправлений: 1)
Ответ на: у кого-то суп жидкий, у кого-то жемчуг мелкий от greenman

Я согласен, что приличный смарт можно купить сильно дешевле 20к руб. Спору нет.

Но «Смартфон за 3-5к руб» - это кусок говна начиненный говно и говном обмазанный. Ужасные материалы, стремные экраны, тормоза, слабая начинка.

dk-
()
Ответ на: комментарий от dk-

От 5 уже более-менее. За 7 можно взять xiaomi redmi 3s 2/16 (4A и того дешевле).

greenman ★★★★★
()
Последнее исправление: greenman (всего исправлений: 1)
Ответ на: комментарий от ya-betmen

Но и стоит он ближе к айфону, чем к 5к ;)

dk-
()
Ответ на: комментарий от u0atgKIRznY5

Ещё проверь сетевую передачу. Посмотри куда данные шлёт. С какими сайтами поддерживает связь.

Уже удалил ту директорию с телефона, пока вроде ничего нового не появилось, но конечно нет гарантии, что не появится и в будущем) Если смотреть, то в каком-нибудь эмуляторе, вроде и в прошивке с офф сайта есть это приложение.

devalone ★★
() автор топика
Ответ на: комментарий от vasily_pupkin

Найди у китайцев JEB слитый у HT. Он конечно старый, но пока еще юзабельный :)

Там вроде триал есть. Спасибо, надо будет попробовать)

devalone ★★
() автор топика
Ответ на: комментарий от BruteForce

Мне когда не охото было компьютер в качестве шлюза nat сервера делать, чтобы посмотреть какие данные от планшета идут, я использовал свою программу, которая на github'е лежит, называется psychic. Там опции, ввести адрес шлюза и адрес android, через несколько секунд данные будут проходить через свой компьютер и можно посмотреть, например в wireshark или tcpdump pcap файл, так как программа сохраняет в этом файле все пакеты. И вот с помощью этого я увидел к каким китайским сайтам идут попытки подключения и ограничил к этим доменам подключение в самом роутере.

u0atgKIRznY5
()
Ответ на: комментарий от karton1

Ядро производитель выкладывает зачастую. А от андроида они и не обязаны выкладывать(проприетарщинолюбские попач-лицензии же).

a1batross ★★★★★
()
Ответ на: комментарий от devalone

Он знатный велосипедостроитель, не обращай внимания на саморекламу

XMs ★★★★★
()

Телефон наверное надо перепрошивать. На 4pda образы должны быть.

Ygor ★★★★★
()

Вполне логичным шагом было бы записать дамп трафика. Берем вайршарк или tcpdump пишем дамп и смотрим что конкретно он передает на эти самые адреса. Ценная инфа при анализе малвари. Потом в коде будет легче найти нужные куски.

avernus
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Void Linux: это че за хрень?
Security
Что за base64?