שיתוף | הנדסה לאחור של אפליקצייה זדונית
-
@cfopuser כתב בשיתוף | הנדסה לאחור של אפליקצייה זדונית:
חיפוש מהיר בjdax ואתה שם.
חשבתי על הדרך הזו ולא הספקתי לממש אותה, אבל הייתי פסימי, בגלל הקוד באקטיבטי שטוען את הumgdn - שתסתכל עליו, חלק מהקריאות שם לAPI של אנדרואיד מוצפנות ופוענחות רק בזמן ריצה.
למשל כאן:
@Override // java.lang.reflect.InvocationHandler public Object invoke(Object proxy, Method method, Object[] args) throws Throwable { if (method != null && "getPackageInfo".equals(method.getName())) { String str = (String) args[0]; if ((((Number) args[1]).intValue() & 64) != 0 && appPkgName.equals(str)) { PackageInfo packageInfo = (PackageInfo) method.invoke(this.base, args); packageInfo.signatures = new Signature[signatures.length]; System.arraycopy(signatures, 0, packageInfo.signatures, 0, signatures.length); return packageInfo; } } if (method == null || !"getApplicationInfo".equals(method.getName()) || !appPkgName.equals((String) args[0])) { return new String(new byte[]{103, 101, 116, 73, 110, 115, 116, 97, 108, 108, 101, 114, 80, 97, 99, 107, 97, 103, 101, 78, 97, 109, 101}).equals(method.getName()) ? "com.android.vending" : method.invoke(this.base, args); } ApplicationInfo applicationInfo = (ApplicationInfo) method.invoke(this.base, args); File file = this.fileStreamPath; if (file != null) { applicationInfo.sourceDir = file.getPath(); applicationInfo.publicSourceDir = this.fileStreamPath.getPath(); } return applicationInfo; }אז השורה הזו:
new String(new byte[]{103,101,116,73,110,115,116,97,108,108,101,114,80,97,99,107,97,103,101,78,97,109,101})היא בסה"כ
getInstallerPackageName@מישהו12 או שהמפתח התעצל או שהו מנסה לשמור על איזון בין יותר מידי להצפין ובין לגלות יותר מידי
(מבחינת אנטי וירוסים עיין ערך virustotal לא מזהה את הקובץ)אחרת אני לא מבין למה חלק מהפונקציות מוצפנות וחלק לא
בתכלס אין פה איזה פרצה זה פשוט מתקפת פישינג פשוטה.
-
-
עברתי על זה
לא נראה משהו מורכב במיוחד
סורק SMS אנשי קשר אפליקציות מותקנות מיקום וחשבונות שומר אותם בקבצי JSON ואז שולח לשרת ה C2 שכתובתו הועלתה לעיל
ואגב בנוגע לשאלה למה זה פוצל ל dropper ונוזקה - די פשוט - כדי שסורקים לא יעלו עליו בקלותצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
עברתי על זה
לא נראה משהו מורכב במיוחד
סורק SMS אנשי קשר אפליקציות מותקנות מיקום וחשבונות שומר אותם בקבצי JSON ואז שולח לשרת ה C2 שכתובתו הועלתה לעיל
ואגב בנוגע לשאלה למה זה פוצל ל dropper ונוזקה - די פשוט - כדי שסורקים לא יעלו עליו בקלות -
@מתכנת-חובב וירוס טוטאל לא עולה גם על הנוזקה. והנוזקה בכל מקרה גם כלולה בתוך הדרופר, זה לא שהוא מוריד אותה מהרשת
@מישהו12 זה שהוא לא עולה עכשיו זה כי לא הכניסו את החתימה שלו עדיין (כנראה ההסתרות שלו מספיקות כדי שמנועים היוריסטיים לא יזהו את האנומליות)
ברגע שזה ירשם המאגרים החתימות זה עדיין לא יזוהה כי זה נמצא בתוך הדרופרצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@מישהו12 זה שהוא לא עולה עכשיו זה כי לא הכניסו את החתימה שלו עדיין (כנראה ההסתרות שלו מספיקות כדי שמנועים היוריסטיים לא יזהו את האנומליות)
ברגע שזה ירשם המאגרים החתימות זה עדיין לא יזוהה כי זה נמצא בתוך הדרופר -
@מתכנת-חובב אז ירשמו גם את הדרופר
-
אציין, שמבדיקה חוזרת, לא בטוח שהמסקנה שהגעתי אליה בנוגע לקוטלין וג'אווה נכונה, נראה שבשתי האפליקציות יש גם קוטלין.
-
https://digitalwhisper.co.il/files/Zines/0xB9/DW185-3-RedAlertMalware.pdf
מאמר שלי על ניתוח הנוזקה הזו.
@מישהו12 מדהים!
ועל הדרך גם שיווקת את מתמחים טופ לעוד הרבה אנשים שיכולים לעזור פה בפורום
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}