Home

Виталий Рудных

11 марта 2018

Как я получил СМС и в итоге обнаружил целую ботнет сеть

Все началось с самой обычной мошеннической СМС-ки которую я получил после того как опубликовал объявление на сайте avito. Почти сразу же я ее и удалил. А через пару недель увидел пост ВКонтакте с текстом “Мой телефон взломали, кому пришли от меня смс не открывайте их, это вирус.”. Так как моя профессиональная деятельность напрямую связана с информационной безопасностью и в том числе с вирусами, я решил разобраться с этим. К тому же впереди были очень длинные выходные.

Найти исходный текст СМС не оказалось сложной задачей, поиск новостей ВКонтакте по ключевым словам “пришло смс вирус” выдает сотни сообщений жертв.

В одном из этих сообщений я увидел и ссылку: http://bit.ly/2DbGtnI
Это обычный сервис сокращения ссылок, развернув мы получаем: http://foto132.pro/g1/?585b6

Первое что решаю проверить это WHOIS по домену, как и ожидал домен оказался зарегистрированным не так давно (долго такие сайты не живут).

Domain Name: FOTO132.PRO  
Creation Date: 2018-03-02T07:01:58Z  
Name Server: NS1.FASTNS.MEN  

DNS сервера так же оказались хакерскими, помимо DNS (53-й порт) на ns1.fastns.men так же крутится xmpp-сервер (порт 5269), видимо для общения между злоумышленниками. Пробуем отрезолвить IPшник по доменному имени foto132.pro, получаю: 195.22.126.83

Сервер расположен в Польше, провайдер EuroNet. Если погуглить данный IP или подсеть, можно обнаружить очень много интересной информации. Странно что данная сеть и сервера до сих пор функционируют, т.к. упоминаний о вирусах и данных адресах в сети очень много.

Попробую просканировать данный домен через dirsearch. Внезапно, обнаруживаю пару интересностей:
http://foto132.pro/admin/ (403)
http://foto132.pro/bin/ (403)
http://foto132.pro/cron.php (406)
http://foto132.pro/install.php (200)
http://foto132.pro/js/ (301)
http://foto132.pro/lib/ (301)
http://foto132.pro/m/ - выдает на скачивание файл avito_*.apk (где * - рандомное число)
http://foto132.pro/photo/ - страница практически идентичная foto132.pro/g1/
http://foto132.pro/var/ (403)

Самым интересным оказались два скрипта cron.php и install.php. Как позже выяснилось они являются частью системы аналитики трафика Keitaro TDS

Немного посерфив интернет нашел возможность ознакомиться с исходным кодом файла install.php. Изучение кода ни к чему интересному не привело. Да и как-то я очень быстро перегорел ковыряться с этим файлом, ведь впереди было еще столько интересного.

Перехожу непосредственно к скачиванию самих apk файлов. Начну с самой первой avito_10039.apk. Приступаем к реверс инжинирингу. Пробую распотрошить apk’шку через apktool (очень мощный инструмент, который помимо распаковки самого apk файла еще и декомпилирует java код).

Permissions у приложения просто потрясающие. Смотрим AndroidManifest.xml а там:

<uses-permission android:name="android.permission.READ_CONTACTS"/>
<uses-permission android:name="android.permission.SEND_SMS"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.WRITE_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
<uses-permission android:name="android.permission.WAKE_LOCK"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.CALL_PHONE"/>
<uses-permission android:name="com.android.alarm.permission.SET_ALARM"/>
<uses-permission android:name="android.permission.BIND_ACCESSIBILITY_SERVICE"/>

Итак, приложение сможет:

  • Читать контакт-лист
  • Отправлять СМС
  • Читать СМС
  • Писать СМС
  • Принимать СМС
  • Получать сообщения о загрузке устройства, что позволит выполнять приложение при запуске
  • Отключать спящий режим
  • Получать информацию о телефоне (серийник, информацию о вызовах)
  • Доступ в интернет
  • Осуществлять телефонные вызовы
  • Управлять смартфоном с помощью голосовых команд

И….барабанная дробь:

  • Заводить будильник (WTF?)

Пробую установить данный apk на эмулятор. Сразу после установки приложение требует активировать службу “Основной процесс”. Соглашаемся.

Кстати, “Основной процесс” это не системная служба, а имя службы которую устанавливает приложение, вот отрывок из манифеста:

        <service android:label="Основной процесс" android:name="kaui.fxyit.viidu.TzjService" android:permission="android.permission.BIND_ACCESSIBILITY_SERVICE">
            <meta-data android:name="android.accessibilityservice" android:resource="@xml/ccbnjq"/>
            <intent-filter>
                <action android:name="android.accessibilityservice.AccessibilityService"/>
            </intent-filter>
        </service>

В процессе установке вирусного приложения сразу улетает POST запрос на http://lawerpingthis.com/syzd343407gvx0/index.php

Что это и зачем пока не ясно. Могу предположить что таким образом сливается какая-то информация с телефона. Приложение есс-но сразу начинает рассылать СМС по разным сервисам: Сбербанк Онлайн, Киви итп. В попытках снять с вас деньги.

Смотрю IP адрес домена lawerpingthis.com: 195.22.126.80. Та же подсеть что и у сайта с которого происходило скачивание. И дальше начинается хардкор, после которого вирусный APK уже кажется детской шалостью. Далее в этой статье я не буду больше оставлять ссылок, только скриншоты с замазанной информацией.

После анализа всей подсети обнаруживаю телефонную базу всех зараженных пользователей, размером в 2мб. Номера, имена.

Текстовый файл в 3мб с 54.000 ХОСТАМИ НА КОТОРЫХ УСТАНОВЛЕН УЯЗВИМЫЙ PHPMYADMIN И ОКОЛО 1000 ССЫЛОК НА УЖЕ УСТАНОВЛЕННЫЙ БЕКДОР!

Дальше еще интереснее, нахожу панель управления ботнетом. Хакер оказался немного глупым и помимо рабочего веб-сервера на одном из портов у него висел micro_httpd который смотрел в ту же директорию где были расположены файлы ботнета. Из-за того что данный веб-сервер работал без php интерпретатора все .php файлы оказались открытыми для чтения. А там и логин/пароли/айпишники зараженных машин. Вообщем полный набор.

Фронтенд код панели ботнета я даже нашел на гитхабе. Судя по никнейму разработчик русский.

Вот такой день.
Отправил абузы провайдеру на чьих ip-шниках все это работает и регистраторам доменов. Скорее всего после выхода статьи данные ресурсы уже не будут работать. Так же на всякий случай отправил обращение в отдел К.

P.S.
У DNS-сервера, кстати, еще открыт 443 порт на котором крутится очень интересный самоподписанны SSL-сертификат от организации: EbemSber & Ko

scribble