LINUX.ORG.RU

обнаружены подозрительная сетевая активность

 ,


0

2

Недавно написал программу, которая показывает соединения программы и вот что выявлено.

192.168.1.5:56170 88.198.114.198:80 uid: 10042
192.168.1.5:40493 103.235.47.125:80 uid: 10042
192.168.1.5:40495 103.235.47.125:80 uid: 10042
192.168.1.5:48492 93.158.134.207:443 uid: 10042
192.168.1.5:43155 54.71.182.124:80 uid: 10042
192.168.1.5:36215 2.23.152.185:80 uid: 10042
192.168.1.5:33650 212.32.249.98:80 uid: 10042
192.168.1.5:44809 52.45.101.171:80 uid: 10042
192.168.1.5:44657 35.158.151.148:80 uid: 10042
192.168.1.5:44656 35.158.151.148:80 uid: 10042
192.168.1.5:44449 212.224.118.213:80 uid: 10042
192.168.1.5:40496 103.235.47.125:80 uid: 10042
192.168.1.5:47806 52.17.70.104:80 uid: 10042
192.168.1.5:44807 52.45.101.171:80 uid: 10042
192.168.1.5:44658 35.158.151.148:80 uid: 10042
192.168.1.5:56169 88.198.114.198:80 uid: 10042
192.168.1.5:49162 2.23.158.86:80 uid: 10042
192.168.1.5:41094 52.40.87.97:80 uid: 10042
192.168.1.5:40494 103.235.47.125:80 uid: 10042
192.168.1.5:47805 52.17.70.104:80 uid: 10042
192.168.1.5:44808 52.45.101.171:80 uid: 10042
192.168.1.5:54626 35.190.77.108:80 uid: 10042
192.168.1.5:48495 93.158.134.207:443 uid: 10042
com.adups.fota
На сайте xakep.ru

По данным Kryptowire вся вредоносная функциональность сконцентрирована внутри двух системных приложений, отключить или удалить которые пользователь попросту не может: com.adups.fota.sysoper и com.adups.fota.

Вот что еще написано

В FOTA, по сути, встроен бэкдор, который постоянно держит связь с серверами китайской компании.

Вот функционал

  • каждые 72 часа отправлять все SMS-сообщения с устройства на сервер Adups;
  • каждые 72 часа отправлять содержимое журнала звонков на сервер Adups;
  • собирать личные данные, позволяющие установить личность пользователя, и каждые 24 часа отправлять их на сервер Adups;
  • собирать информацию о IMSI и IMEI, геолокационные данные и список установленных приложений;
  • удалять или обновлять приложения;
  • скачивать и устанавливать новые приложения без ведома пользователя;
  • обновлять прошивку устройства;
  • удаленно выполнять произвольные команды и повышать свои привилегии на устройстве.

Также еще до появления этой fota, также присутствует

192.168.1.5:46864 74.125.131.101:443 uid: 10066
com.google.android.apps.maps

u0atgKIRznY5 ()

Так а клавиатура, у которой база в открытый доступ попала, тоже собирала всё это. И что?
UPD:

удалять или обновлять приложения;
скачивать и устанавливать новые приложения без ведома пользователя;
обновлять прошивку устройства;
удаленно выполнять произвольные команды и повышать свои привилегии на устройстве.

А это уже круто.

xwicked ★★ ()
Последнее исправление: xwicked (всего исправлений: 1)

Это на каком вендоре / прошивке такое добро?

Jefail ★★★ ()
Ответ на: комментарий от Jefail

Это на каком вендоре / прошивке такое добро?

Незнаю, как то в трафике сетевом видел vendor написано было, но я не помню что там. А так это vertex impress fun. Прошивка из магазина. Чтобы увидеть какая программа соединяется по сети, сделал root на устройстве.

u0atgKIRznY5 ()
Ответ на: комментарий от Jefail

Но дело в том, что когда пытаюсь обновить прошивку по воздуху, запрашивает dns fota. Так что не понятно есть или нет, но судя по описанию на сайте хакер, то это используется не только для обновления по воздуху. Потому как продолжительное время не с того ни с сего установилась связь и поддерживалась.

u0atgKIRznY5 ()

Писец, блджад. Расчехляю свою древнюю нокию.

IPR ★★★ ()
Ответ на: комментарий от IPR

Расчехляю свою древнюю нокию.

Хе-хе. Юзаю древний сименц, и нокла лежит в пакетике.

rht ★★★★★ ()
Ответ на: комментарий от rht

Я был близок к этому, завёл себе пару нокий, а андроед оставлю только для вацапика и интернетов.

IPR ★★★ ()
Ответ на: комментарий от IPR

Да, ведроед у мну тока для ИМ и интернетов. Ни одного контакта там нет.

Дело как бы личное, каждый сам решает.

rht ★★★★★ ()
Ответ на: комментарий от Jefail

Да практически в любом китайце. В thl точно есть, там апдейты через fota вытягиваются.

imul ★★★★★ ()

Так как ты сделал root, то легко можешь вытащить эти системные положения, а затем легко их декомпилировать и посмотреть, что там внутре. Я так сто раз делал, только не из-за паранои, а по другим причинам.

ult ()
Ответ на: комментарий от ult

а по другим причинам.

Наверное ты смотрел cracklab курсы по взлому android игр.

u0atgKIRznY5 ()

О классно, теперь же еще доступна возможность настраивать iptables.

u0atgKIRznY5 ()
Ответ на: комментарий от u0atgKIRznY5

Нет. На мтк6577 нет камеры с raw-режимом. А в стандартном инженерном приложении есть тест камеры с записью raw-фото. Только никто этот получившийся raw не мог расшифровать. Я смог и хотел сделать обычное приложение-камеру с этим режимом. Поэтому ковырялся в декомпиляторе. В итоге все встало пока за недостатком времени.

ult ()

Обнаружен мамкин хакер

На сайте xakep.ru

slackwarrior ★★★★★ ()

отключить или удалить которые пользователь попросту не может

, если у пользователя нет root.

ult ()
Ответ на: комментарий от u0atgKIRznY5

ужас!!! телефон оказывается в интернет лазить умеет!!

WindowsXP ★★ ()
Ответ на: комментарий от u0atgKIRznY5

О классно, теперь же еще доступна возможность настраивать iptables.

Везет. Порой вендоры могут половину модулей выкинуть из ядра.

Meyer ★★ ()
Ответ на: комментарий от Meyer

Везет. Порой вендоры могут половину модулей выкинуть из ядра.

Буду иметь ввиду.

u0atgKIRznY5 ()

Я fota всегда вырезал из прошивки.

karton1 ★★★ ()
Ответ на: комментарий от ult

мтк6577

До сих пор пользуешься телефоном на этом чипе? Ну и как оно?

karton1 ★★★ ()
Ответ на: комментарий от Deathstalker

Установи антивирус.

Хорошая шутка.

rht ★★★★★ ()
Ответ на: комментарий от karton1

Уже не пользуюсь. Лежит без дела. Поэтому и ушли все интересы с ним разбираться.

ult ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)