Вы никогда не задавались вопросом при покупке нового телефона, а что делают предустановленные приложения и почему их в большинстве случаев нельзя удалить?
Ребята из google сделали доклад в прошлом году на Blackhat, посвященный особенностям и сложностям reverse engineering предустановленных приложений и разобрали несколько интересных кейсов с предустановленной малварью и приложением с бэкдором для удаленного выполнения кода. Ну, и, конечно, много советов и практической информации от людей, которые эту систему разрабатывают 😁
Очень интересно и достаточно легко смотрится.
#Android #Revers #Blackhat #malware
https://youtu.be/U6qTcpCfuFc
Ребята из google сделали доклад в прошлом году на Blackhat, посвященный особенностям и сложностям reverse engineering предустановленных приложений и разобрали несколько интересных кейсов с предустановленной малварью и приложением с бэкдором для удаленного выполнения кода. Ну, и, конечно, много советов и практической информации от людей, которые эту систему разрабатывают 😁
Очень интересно и достаточно легко смотрится.
#Android #Revers #Blackhat #malware
https://youtu.be/U6qTcpCfuFc
YouTube
Securing the System: A Deep Dive into Reversing Android Pre-Installed Apps
This talk will detail the differences in reversing and analyzing pre-installed Android applications compared to the user-space applications that most security research has focused on. This will include things like identifying when a pre-installed application…
Многие компании используют системы MDM (mobile device management) для контроля корпоративных телефонов. Но мало кто задумывается о безопасности самих этих систем.
Наглядный пример хорошо расписан в исследовании компании Check Point, когда вирус установили на 75% устройств компании, получив доступ к системе MDM. 😱
Детальный разбор этого трояна с описанием всей функциональности и модулей также в статье :)
#MDM #malware #Android #Vulnerabilities
https://research.checkpoint.com/2020/mobile-as-attack-vector-using-mdm/
Наглядный пример хорошо расписан в исследовании компании Check Point, когда вирус установили на 75% устройств компании, получив доступ к системе MDM. 😱
Детальный разбор этого трояна с описанием всей функциональности и модулей также в статье :)
#MDM #malware #Android #Vulnerabilities
https://research.checkpoint.com/2020/mobile-as-attack-vector-using-mdm/
Check Point Research
First seen in the wild - Malware uses Corporate MDM as attack vector - Check Point Research
Research by: Aviran Hazum, Bogdan Melnykov, Chana Efrati, Danil Golubenko, Israel Wernik, Liav Kuperman, Ohad Mana Overview: Check Point researchers discovered a new Cerberus variant which is targeting a multinational conglomerate, and is distributed by the…
К сожалению, нам не удалось выиграть в этом году.. Но ничего, жизнь не стоит на месте, нужно двигаться дальше.
Как, например, это делают разработчики malware под Android 😁
Опубликован интересный разбор малвари, которая представляет собой модифицированную и улучшенную версию, которую обнаруживали ранее, аж в 2014-2015 годах.
Вообще, злоумышленники почему-то не любят использовать новые механизмы или новые уязвимости, а постоянно модифицируют и обновляют старые версии. Так и всплывают десятки модификаций, произрастающих из одного источника. Наверное, так проще 🤔
#Android #malware #research
https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html?m=1
Как, например, это делают разработчики malware под Android 😁
Опубликован интересный разбор малвари, которая представляет собой модифицированную и улучшенную версию, которую обнаруживали ранее, аж в 2014-2015 годах.
Вообще, злоумышленники почему-то не любят использовать новые механизмы или новые уязвимости, а постоянно модифицируют и обновляют старые версии. Так и всплывают десятки модификаций, произрастающих из одного источника. Наверное, так проще 🤔
#Android #malware #research
https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html?m=1
Talosintelligence
The wolf is back...
A blog from the world class Intelligence Group, Talos, Cisco's Intelligence Group
Продолжая тему различных malware под Android 🤓
Никогда не устареет техника полного копирования интерфейса приложения с добавлением некоторого количества "дополнительного" функционала. И ведь каждый раз Google Play пропускает эти приложения 🤦♂️
В Индии после выпуска официального приложения от правительства, в Google Play появились десятки клонов с вирусом на борту. Если я правильно помню, несколько раз фейковые приложения набирали больше скачиваний, чем оригинал, благодаря проплаченному продвижению в топ 😃
#Android #malware #GooglePlay #Phishing
Никогда не устареет техника полного копирования интерфейса приложения с добавлением некоторого количества "дополнительного" функционала. И ведь каждый раз Google Play пропускает эти приложения 🤦♂️
В Индии после выпуска официального приложения от правительства, в Google Play появились десятки клонов с вирусом на борту. Если я правильно помню, несколько раз фейковые приложения набирали больше скачиваний, чем оригинал, благодаря проплаченному продвижению в топ 😃
#Android #malware #GooglePlay #Phishing
И еще немного в копилку Malware под Android...
Несколько приложений для сканирования QR-кодов с более чем миллионом скачиваний 🙈🙈 были заражены трояном, который раз в 15 минут запрашивал информацию с сервера и показывал рекламу.
Но, что интересно, приложение не отображало рекламу для пользователя, как это обычно происходит в подобного вида малварях, а запускала Activity и сразу его скрывало (для пользователя это выглядит, как всплывающее белое окно, которое сразу же закрывается). То есть для злоумышленников был важен сам факт перехода по указанной ссылке с нужным id рекламы с телефона пользователя. Такое интересное наваривание денег на рекламной компании :))
Так что не стоит забывать, что из магазина Google Play тоже можно заразиться вирусом (Google Play Protect, к сожалению, далёк от идеала) и количество скачиваний приложения не всегда является показателем того, что приложение безопасно.
#Android #Malware #Report
Несколько приложений для сканирования QR-кодов с более чем миллионом скачиваний 🙈🙈 были заражены трояном, который раз в 15 минут запрашивал информацию с сервера и показывал рекламу.
Но, что интересно, приложение не отображало рекламу для пользователя, как это обычно происходит в подобного вида малварях, а запускала Activity и сразу его скрывало (для пользователя это выглядит, как всплывающее белое окно, которое сразу же закрывается). То есть для злоумышленников был важен сам факт перехода по указанной ссылке с нужным id рекламы с телефона пользователя. Такое интересное наваривание денег на рекламной компании :))
Так что не стоит забывать, что из магазина Google Play тоже можно заразиться вирусом (Google Play Protect, к сожалению, далёк от идеала) и количество скачиваний приложения не всегда является показателем того, что приложение безопасно.
#Android #Malware #Report
Второй инструмент - Quark. Он использует совершенно другой принцип, не запускает анализируемое приложение, а пытается декомпилировать и по собственным правилам (которые можно дописывать или украсть подглядеть на просторах интернета) определяет, насколько приложение похоже на вредонос.
Качество детекта приятно удивляет. Конечно, бывают смешные результаты, когда особо рьяные до безопасности банковские приложения определяются, как вредоносные, но тут можно поправить или отключить некоторые правила. Разворачивать и запускать ее намного проще, чем ту же Кукушку, достаточно выполнить команду:
Кстати, есть еще одна форма этого инструмента - для поиска уязвимостей в приложении, но уже совсем другая история и, может быть, я когда-то о нём напишу 😃
Если нужно определить, является ли Android-приложение зловредом или содержит в себе какие-то скрытые возможности, я бы рекомендовал комбинировать два эти инструмента для всестороннего анализа приложения, как с точки зрения статического анализа, так и динамического. Всё в лучших традициях AppSec - что-то найдет один инструмент, что-то другой и в итоге можно получить более-менее цельную картину.
#Android #Malware #Research #Tools
Качество детекта приятно удивляет. Конечно, бывают смешные результаты, когда особо рьяные до безопасности банковские приложения определяются, как вредоносные, но тут можно поправить или отключить некоторые правила. Разворачивать и запускать ее намного проще, чем ту же Кукушку, достаточно выполнить команду:
quark -a sample/14d9f1a92dd984d6040cc41ed06e273e.apk -r rules/ -s
И буквально через несколько минут получить результат. Кстати, есть еще одна форма этого инструмента - для поиска уязвимостей в приложении, но уже совсем другая история и, может быть, я когда-то о нём напишу 😃
Если нужно определить, является ли Android-приложение зловредом или содержит в себе какие-то скрытые возможности, я бы рекомендовал комбинировать два эти инструмента для всестороннего анализа приложения, как с точки зрения статического анализа, так и динамического. Всё в лучших традициях AppSec - что-то найдет один инструмент, что-то другой и в итоге можно получить более-менее цельную картину.
#Android #Malware #Research #Tools
GitHub
GitHub - quark-engine/quark-engine: Quark Agent - Your AI-powered Android APK Analyst
Quark Agent - Your AI-powered Android APK Analyst. Contribute to quark-engine/quark-engine development by creating an account on GitHub.
Я не очень люблю писать про разборы очередных зловредных приложений под Android. Как правило, они используют одни и те же техники, которые существуют уже давно, надесь на доверчивость пользователя или его желание во что бы то ни стало посмотреть на котиков.
Обычно, такие зловреды не несут в себе никакой функциональности для пользователя, а всего лишь пытаются получить данные пользователя, украсть смс и прочее. Мой фаворит - это фейковое приложение "Все банки в одном приложении", которое имела внутри себя 1 activity с возможностью выбрать банк для подключения и формочкой для данных карты. В зависимости от выбранного банка менялся фон - зеленый, красный, желтый.. При этом, GooglePlay рекомендовал его мне для установки и он был в топе скачиваний 🤦♂️🤦♂️
Но есть и исключения из правил, и об одном таком приложении написали коллеги из Eset. Приложение с полным функционалом мессенджера, которым пользовались люди и которое, помимо основного функционала, имело несколько интересных побочных функций :)
Достаточно легкий и в какой-то степени интересный обзор 😄
#Android #Malware #ChatApp
Обычно, такие зловреды не несут в себе никакой функциональности для пользователя, а всего лишь пытаются получить данные пользователя, украсть смс и прочее. Мой фаворит - это фейковое приложение "Все банки в одном приложении", которое имела внутри себя 1 activity с возможностью выбрать банк для подключения и формочкой для данных карты. В зависимости от выбранного банка менялся фон - зеленый, красный, желтый.. При этом, GooglePlay рекомендовал его мне для установки и он был в топе скачиваний 🤦♂️🤦♂️
Но есть и исключения из правил, и об одном таком приложении написали коллеги из Eset. Приложение с полным функционалом мессенджера, которым пользовались люди и которое, помимо основного функционала, имело несколько интересных побочных функций :)
Достаточно легкий и в какой-то степени интересный обзор 😄
#Android #Malware #ChatApp
Заметание следов с использованием Accessibility Services
Обычно я не пишу про новости об очередных троянах и вирусах, обнаруженных в GooglePlay и снова захвативших тысячи устройств. Это скучно, не интересно и я бы лучше сделал обзор, как эти штуки работают и что используют. Как правило, это просто различные модификации нескольких видов троянцев, которые несущественно видоизменены, чтобы их нельзя было обнаружить сигнатурным анализом. Бывают, конечно, уникальные малвари, но их единицы.
Но вот эта статья про то, как некоторые зловреды используют Accessibility Services для сокрытия следов, что затрудняет их обнаружение, мне очень понравилась.
Автор рассказывает, что это за сервис такой, как его использовать и приводит несколько реальных кейсов, как при помощи него уводили деньги с крипто кошельков, в том числе с двухфакторной авторизацией. И описывает, с какими сложностями можно столкнуться при расследовании таких хищений.
Статья большая, но интересная 😁
#android #forensic #research #malware
Обычно я не пишу про новости об очередных троянах и вирусах, обнаруженных в GooglePlay и снова захвативших тысячи устройств. Это скучно, не интересно и я бы лучше сделал обзор, как эти штуки работают и что используют. Как правило, это просто различные модификации нескольких видов троянцев, которые несущественно видоизменены, чтобы их нельзя было обнаружить сигнатурным анализом. Бывают, конечно, уникальные малвари, но их единицы.
Но вот эта статья про то, как некоторые зловреды используют Accessibility Services для сокрытия следов, что затрудняет их обнаружение, мне очень понравилась.
Автор рассказывает, что это за сервис такой, как его использовать и приводит несколько реальных кейсов, как при помощи него уводили деньги с крипто кошельков, в том числе с двухфакторной авторизацией. И описывает, с какими сложностями можно столкнуться при расследовании таких хищений.
Статья большая, но интересная 😁
#android #forensic #research #malware
SpringerLink
Reducing the Forensic Footprint with Android Accessibility Attacks
Android accessibility features include a robust set of tools allowing developers to create apps for assisting people with disabilities. Unfortunately, this useful set of tools can also be abused and turned into an attack vector, providing malware with the…
Неофициальный клиент club house на Android оказался вирусом
Ну просто Breaking news! Неофициальный клиент ClubHouse под Андроид тырил учетные данные от кучи приложений.
Как только ClubHouse начал адскую пар-компанию и стал безумно популярен, я ждал новостей про новые стилеры, мимикрирующие под него. Ну просто невозможно же пройти мимо такого хайпа)) Я думаю, что если попробовать поискать в PlayStore или просто в гугле, можно еще много подобных вещей найти))
Так что будьте аккуратны и не ставьте что попадя на свой телефон :)
#malware #android
Ну просто Breaking news! Неофициальный клиент ClubHouse под Андроид тырил учетные данные от кучи приложений.
Как только ClubHouse начал адскую пар-компанию и стал безумно популярен, я ждал новостей про новые стилеры, мимикрирующие под него. Ну просто невозможно же пройти мимо такого хайпа)) Я думаю, что если попробовать поискать в PlayStore или просто в гугле, можно еще много подобных вещей найти))
Так что будьте аккуратны и не ставьте что попадя на свой телефон :)
#malware #android
Threat Post
Bogus Android Clubhouse App Drops Credential-Swiping Malware
The malicious app spreads the BlackRock malware, which steals credentials from 458 services - including Twitter, WhatsApp, Facebook and Amazon.
Очень хитрая и интересная малварь
Обычно я не люблю статьи про анализ разных вирусов и прочей малвари под Android, так как в них в 90% случаев нет ничего особенного и интересного. Такое ощущение, что их просто делают под копирку и собирают из нескольких доступных исходников с небольшой модификацией.
Однако в этой статье рассказывается про очень интересную и достаточно хитрую малварь, которая не реализует классический
В общем, достаточно интересный пример, можно взять на вооружение для ctf, например.
#android #malware #multidex #research
Обычно я не люблю статьи про анализ разных вирусов и прочей малвари под Android, так как в них в 90% случаев нет ничего особенного и интересного. Такое ощущение, что их просто делают под копирку и собирают из нескольких доступных исходников с небольшой модификацией.
Однако в этой статье рассказывается про очень интересную и достаточно хитрую малварь, которая не реализует классический
DexClassLoader для подгрузки и запуска полезной нагрузки, а использует механизм MultiDexApplication с небольшими изменениями (изменены имена файлов, локация для сохранения, а также реализована предварительная расшифровка dex-файла). Хорошо, что ключ шифрования по традиции сохраняется в исходном коде 🙄В общем, достаточно интересный пример, можно взять на вооружение для ctf, например.
#android #malware #multidex #research
Medium
Multidex trick to unpack Android/BianLian
This article explains how to unpack sample sha256 5b9049c392eaf83b12b98419f14ece1b00042592b003a17e4e6f0fb466281368 which was served from…
👍4