Продам всё, что на фото. Недорого

2025-12-10 11:39

Привет, с вами снова отдел реагирования и цифровой криминалистики Angara MTDR. Наш эксперт Александр Гантимуров, руководитель направления обратной разработки Angara MTDR, исследовал вредоносные APK-файлы, которые активно используют злоумышленники в социальных сетях и мессенджерах под видом срочной распродажи личных вещей.

*Примеры распространяемых файлов в группах мессенджера Telegram*

Результаты исследования

Переданные на исследование APK-файлы незначительно отличаются по размеру и представляют собой ВПО семейства Mamont для Android. Зловреды предназначены для скрытного получения и отправки сообщений, сбора информации о заражённом устройстве, отправки USSD-команд, просмотра уведомлений и открытия произвольных URL.

Backdoor.Android.Mamont.12 (Mamont)

MD5	Имя файла	Размер
3333a455c87150b958986bc2760af528	Фото 24шт.apk	9.73 MB
05c8202b2570a86b47a7eca8db77e0d7	photo12.apk	10.70 MB

При открытии вредоносное приложение запрашивает доступ к получению и отправке SMS, а также к звонкам и камере.

После предоставления всех запрашиваемых разрешений открывается фишинговая страница, которая указана в настройках при создании приложения. В нашем случае открывается имитация сервиса по обмену изображениями. Такие ресурсы могут собирать пользовательские учётные данные.

В других случаях приложение может использовать вполне легитимный сайт, чтобы не вызывать подозрений у пользователя.

Разрешения

На заражённом устройстве вредоносное приложение получает следующие разрешения:

Разрешение	Описание
android.permission.SEND_SMS	Отправка SMS
android.permission.READ_PHONE_STATE	Чтение состояния телефона (в том числе IMEI)
android.permission.READ_SMS	Чтение SMS
android.permission.RECEIVE_SMS	Получение SMS
android.permission.READ_CONTACTS	Чтение контактов
android.permission.RECEIVE_BOOT_COMPLETED	Автозагрузка при старте устройства
android.permission.FOREGROUND_SERVICE	Работа в фоновом режиме
android.permission.CALL_PHONE	Осуществление звонков
android.permission.CAMERA	Доступ к камере устройства

Защита от исследования

Для сокрытия вредоносного функционала и усложнения исследования все основные строки в приложении зашифрованы при помощи obfuse.NPStringFog.

После расшифровки они выглядят следующим образом:

Конфигурация

Основные настройки для осуществления деятельности хранятся в классе BuildConfig.

В большинстве случаев конфигурация хранится в открытом виде.

Дополнительно на удалённый сайт отправляется информация о работе приложения через класс RemoteLogger. URL для отправки также указан в открытом виде.

Кроме этого, в коде приложения реализован EnhancedRemoteLogger, который также может отправлять информацию, но в исследуемой нами версии ВПО он никак не используется.

Команды

Всё взаимодействие злоумышленника с удалённым сервером происходит через retrofit2. Команды и результаты работы отправляются в формате JSON.

Злоумышленник может отправлять следующие команды:

refresh_sms — отправить SMS на удалённый сервер;
get_permissions_status — отправить список доступных разрешений;
check_online — сообщить о доступности через интернет;
send_ussd — отправить USSD на указанный номер;
send_sms — отправить SMS на указанный номер;
open_link — открыть указанный URL во встроенном браузере;
delete_sms — удалить указанную SMS.

Особенности

В коде приложения есть отладочные комментарии и сообщения на русском языке.

В API для взаимодействия с удалённым сервером злоумышленника реализован метод uploadVerificationData, который в настоящее время никак не используется.

Судя по коду, подразумевается, что в перспективе злоумышленнику будут отправляться сведения о номере паспорта, дате рождения и информация об устройстве.

Кроме того, в коде приложения выявлены следующие неиспользуемые строки:

Это также говорит о планах по дальнейшему расширению функционала ВПО и добавлению возможности «пройти верификацию». Видеоматериалы с лицом пользователя могут использоваться для создания фишинговых сообщений и дальнейшего распространения.

Индикаторы компрометации

Источник	Тип	Значение
05c8202b2570a86b47a7eca8db77e0d7	url	hxxps://photricity[.]com/flw/ajax/
05c8202b2570a86b47a7eca8db77e0d7	url	hxxps://libertylibertypopcorn[.]live/
3333a455c87150b958986bc2760af528	url	hxxps://libertydroid-xraycomm[.]top/remote_logs/log_receiver.php
3333a455c87150b958986bc2760af528	url	hxxps://libertydroid[.]com/remote_logs/log_receiver.php
3333a455c87150b958986bc2760af528	url	hxxps://ibb[.]co/MxnMtnGV
3333a455c87150b958986bc2760af528	url	hxxps://libertydroidwestthebest[.]live/

Yara

rule malware_android_Mamont_12 {  meta:    description = "[ Malware ] Detected Mamont malicious APK"    author = "Gantimurov/Angara MTDR"    date = "2025-11-20"    tlp = "WHITE"      score = 100      hash = "05c8202b2570a86b47a7eca8db77e0d7"    strings:      $s1 = "com.jaconda.infowebseq" wide      $m1 = "HeadlessSmsSendService" wide      $m2 = "SMSActivity" wide      $m3 = "PermissionHandlerActivity" wide      $m4 = "SMSReceiver" wide      $m5 = "SecretCodeReceiver" wide      $p1 = "android.provider.Telephony.SECRET_CODE" wide      $p2 = "android.permission.SEND_RESPOND_VIA_MESSAGE" wide      $p3 = "android.permission.BROADCAST_WAP_PUSH" wide    condition:    uint32be(0) == 0x504B0304 and // Android APK    ($s1 or ( all of ($m*) and all of ($p*)))  }

Итоги

Изучение данного вредоноса показало, что злоумышленники готовятся к широкомасштабной кампании по сбору персональных данных и последующему их использованию. Эксперты Angara MTDR настоятельно рекомендуют:

отключить автозагрузку файлов в Telegram и проверять формат файлов перед их скачиванием;
не устанавливать APK-файлы из сторонних источников, чатов и мессенджеров;
перед скачиванием файлов в форматах «.docx», «.xlsx» и «.pdf» проверять их на специальных сервисах, например на VirusTotal;
установить и использовать антивирусные приложения на мобильном устройстве.

Источник: habr.com

Продам всё, что на фото. Недорого

Комментарии: