Вирус на андроиде - баннер, блокирующий экран

@rash26ru · Регистрация: 08.01.2015

Author24 — интернет-сервис помощи студентам

Доброго времени суток Господа!!! Сегодня столкнулся с вирусом на андроиде, представляет собой банер, блокирующий экран, не работает ни чего кроме кнопки питания, на нем естественно надпись типа "если не положите на телефон 500 деревянных ваш телефон умрет мучительной смертью", т.к. времени заморачиваться не было сделал бэкап и форматнул тел. вечером делать было нечего решил найти в бекапе причину банера, оказалась прога скаченная с ХХХ сайта так и называется ХХХ online player, но apk-шник называется по другому, но суть не в этом! Как мне теперь разобрать этот apk-шник и убрать от туда номер телефона и 500 деревынных, вообще убрать чтоб и не было там ничего кроме надписи "низя лазить де не попадя". Заранее спасибо!
P.S. файлик прикрепил, org.ogr.me-1.rar НЕ СТАВЬТЕ НА СВОЙ ТЕЛЕФОН!!!!!

magirus · 08.01.2015, 06:52

видишь ли, сейчас из жертвы, ты стал тем самым "распространителем вредоносных программ"...
статьи 272 273 УК...

@rash26ru · 08.01.2015, 07:08 **[ТС]**

Ну хорошо, а как тогда развиваться? как противостоять этой заразе если ни кто не может этот вирь "пощупать"? к тому же я предупредил что это вирус!!!

magirus · 08.01.2015, 07:25

то есть, ты считаешь, что ты развиваешься, если ты это Ге... выкладываешь на форум, (хотя и "честно" предупреждаешь что это Ге) и просишь изменить в этом Ге. только то чтоб оно денег не требовало?

@rash26ru · 08.01.2015, 07:59 **[ТС]**

Я считаю что да (развиваюсь), и я не прошу изменить это Г, а прошу рассказать, объяснить как разложить апк и вытащить не нужное.

@Leks2 · 08.01.2015, 10:27

rash26ru, а антивирусник стоял в телефоне?

@Kastaneda · 08.01.2015, 10:40

Сообщение от magirus

видишь ли, сейчас из жертвы, ты стал тем самым "распространителем вредоносных программ"...

Не совсем. Он выложил вирус, сказав, что это вирус и что "не ставьте на свои телефоны". Это другое дело.

rash26ru, вечером может если время будет, посмотрю. Хотя наверняка там абфускатором 100 раз прошлись.

Сообщение от rash26ru

Как мне теперь разобрать этот apk-шник

в гугл "apk reverse engineering". Вот первое, что нашел.

@rash26ru · 08.01.2015, 17:04 **[ТС]**

На телефоне антивирь Malwaredytes anti-Malware но он не сработал.

@Tester64 · 09.01.2015, 13:37

Взломал, начал изучать...
Вроде все просто... (не первый взгляд)

Похоже создается "плавающее окно". Или даже просто окно на весь экран(это еще проще). Оно вызывается на усыпление/пробуждение телефона.
Похоже пытается зарегистрировать себя как ланчер. Интересно (Вы ведь пробовали) - оно перехватило кнопку Хоум? По идее должна спрашивать
Запускается первом при включении питания.

Добавлено через 5 минут
Я пока смотрел лишь код запуска и вредителя. Меня интересовал режим запуска. Код частично офусцирован или примитивное кодирование идет. Механизм "вымагания/сбора денег" еще не смотрел - не интересно - либо обман, либо адаптирован под некую одну платежную систему.

@rash26ru · 09.01.2015, 14:05 **[ТС]**

Вот!!! Меня тоже интересует запуск и невозможность убрать картинку, чтобы все поняли смысл, хочу сделать что то типо шутки но на непродолжительное время минут на пять, а потом самоуничтожение. Я тоже разодрал апк и даже нашел где лежит запись с инструкцией по оплате на лпределенный номер телефона но номера телефона и кода который надо отправить там нет, он находится в отдельной созданной вирусом папке в телефоне.

Добавлено через 1 минуту
"apk reverse engineering" попробовал но не то что нужно

@Vladimirys · 09.01.2015, 16:40

Плюс ко всему зловерд добавляет себя как еще один администратор. Интересно у граждан не возникает вопросов, зачем плееру столько разрешений, да еще таких экзотичных. Если пользователь сам пихает всякую дрянь на копм ему никакой антивирус не поможет.
Запуск через сервис, благо права админа есть, получает сигнал - BOOT_COMPLETED, и стартует. Насколько я понял. Перехвата хоме вроде нет, просто отлавливаться состояние конопок, а так же состояние экрана, включен/выключен.

@androbro · 09.01.2015, 17:10

да и осуществляет общение с сайтом "ebuha4a точка net"
и функционал для удаления тоже кстати имеется, опять таки посредством ответа с данного сайта.

@Vladimirys · 09.01.2015, 18:24

А по данным из Whois - находим нашего кулцхакера. Судя по адресу почты субъект 1996 года рождения.
http://www.tcpiputils.com/brow... buha4a.net
...

egistrant Name: Vyacheslav Kondratev
Registrant Organization:
Registrant Street: ul. Koshevogo 54
Registrant City: Dzerdzhinskiy
Registrant State/Province: Novosibirskaya
Registrant Postal Code: 54511
Registrant Country: RU
Registrant Phone: +7.9877458854
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: lock1996@inbox.ru

Гражданин, видимо хочет начать карьеру программиста с 273 УК РФ.

@androbro · 09.01.2015, 21:17

Даа, инфа конечно по всей видимости фейковая, но вот возраст судя по ответу реальный)

@Kira_the_first · 30.10.2016, 17:19

Сообщение от rash26ru

вообще убрать чтоб и не было там ничего кроме надписи "низя лазить де не попадя"

используйте функцию удаление приложений(ответ на вопрос, удалить через определённое время), если инфа в .html, можно просто заменить строчки на нужные(или воспользоваться поиском), а всё остальное оставить(можна даже в коде не копаться а манифест редактировать)

Pablito · 30.10.2016, 19:13

Не по теме:

хватит некропоститть по темам

@Kira_the_first · 04.11.2016, 20:41

Сообщение от rash26ru

хочу сделать что то типо шутки

Я покопался в нём. Не буду спрашивать зачем вы плеер для порнухи установили

Есть способ сделать "по вашему", в папке res\layout\activity_main.xml в android:text= написаны 1е 2е 5е и 6е требования(с кракозябрами, но я это списываю на неправильную декомпиляцию, на андройде декомпилил), их можно изменить, а можно и оставить(для смеху), но самое главное убрать в манифесте разрешение на загрузку вместе с системой, юзер перезагрузит телефон, и сможет удалить вредоносную прогу(но это только теория + тестировалось на эмуляторе, через adb не удаляется, только хард резет помогает, не повторять в домашних условиях!).

@androbro 393 / 338 / 83 Регистрация: 17.10.2014 Сообщений: 1,007
	09.01.2015, 17:10	12
	да и осуществляет общение с сайтом "ebuha4a точка net" и функционал для удаления тоже кстати имеется, опять таки посредством ответа с данного сайта. 0

@rash26ru 0 / 0 / 0 Регистрация: 08.01.2015 Сообщений: 6
		1
	Вирус на андроиде - баннер, блокирующий экран 08.01.2015, 05:32. Показов 8902. Ответов 16 Метки нет (Все метки) Доброго времени суток Господа!!! Сегодня столкнулся с вирусом на андроиде, представляет собой банер, блокирующий экран, не работает ни чего кроме кнопки питания, на нем естественно надпись типа "если не положите на телефон 500 деревянных ваш телефон умрет мучительной смертью", т.к. времени заморачиваться не было сделал бэкап и форматнул тел. вечером делать было нечего решил найти в бекапе причину банера, оказалась прога скаченная с ХХХ сайта так и называется ХХХ online player, но apk-шник называется по другому, но суть не в этом! Как мне теперь разобрать этот apk-шник и убрать от туда номер телефона и 500 деревынных, вообще убрать чтоб и не было там ничего кроме надписи "низя лазить де не попадя". Заранее спасибо! P.S. файлик прикрепил, org.ogr.me-1.rar НЕ СТАВЬТЕ НА СВОЙ ТЕЛЕФОН!!!!! 0

magirus Почетный модератор 28045 / 15778 / 982 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	08.01.2015, 06:52	2
	видишь ли, сейчас из жертвы, ты стал тем самым "распространителем вредоносных программ"... статьи 272 273 УК... 1

@rash26ru 0 / 0 / 0 Регистрация: 08.01.2015 Сообщений: 6
	08.01.2015, 07:08 [ТС]	3
	Ну хорошо, а как тогда развиваться? как противостоять этой заразе если ни кто не может этот вирь "пощупать"? к тому же я предупредил что это вирус!!! 0

magirus Почетный модератор 28045 / 15778 / 982 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	08.01.2015, 07:25	4
	то есть, ты считаешь, что ты развиваешься, если ты это Ге... выкладываешь на форум, (хотя и "честно" предупреждаешь что это Ге) и просишь изменить в этом Ге. только то чтоб оно денег не требовало? 0

@rash26ru 0 / 0 / 0 Регистрация: 08.01.2015 Сообщений: 6
	08.01.2015, 07:59 [ТС]	5
	Я считаю что да (развиваюсь), и я не прошу изменить это Г, а прошу рассказать, объяснить как разложить апк и вытащить не нужное. 0

@Leks2 2 / 2 / 1 Регистрация: 14.11.2014 Сообщений: 119
	08.01.2015, 10:27	6
	rash26ru, а антивирусник стоял в телефоне? 0

@Kastaneda 5231 / 3204 / 362 Регистрация: 12.12.2009 Сообщений: 8,113 Записей в блоге: 2
	08.01.2015, 10:40	7
	Сообщение от magirus видишь ли, сейчас из жертвы, ты стал тем самым "распространителем вредоносных программ"... Не совсем. Он выложил вирус, сказав, что это вирус и что "не ставьте на свои телефоны". Это другое дело. rash26ru, вечером может если время будет, посмотрю. Хотя наверняка там абфускатором 100 раз прошлись. Сообщение от rash26ru Как мне теперь разобрать этот apk-шник в гугл "apk reverse engineering". Вот первое, что нашел. 0

@rash26ru 0 / 0 / 0 Регистрация: 08.01.2015 Сообщений: 6
	08.01.2015, 17:04 [ТС]	8
	На телефоне антивирь Malwaredytes anti-Malware но он не сработал. 0

@Tester64 420 / 357 / 47 Регистрация: 22.05.2013 Сообщений: 2,518
	09.01.2015, 13:37	9
	Взломал, начал изучать... Вроде все просто... (не первый взгляд) Похоже создается "плавающее окно". Или даже просто окно на весь экран(это еще проще). Оно вызывается на усыпление/пробуждение телефона. Похоже пытается зарегистрировать себя как ланчер. Интересно (Вы ведь пробовали) - оно перехватило кнопку Хоум? По идее должна спрашивать Запускается первом при включении питания. Добавлено через 5 минут Я пока смотрел лишь код запуска и вредителя. Меня интересовал режим запуска. Код частично офусцирован или примитивное кодирование идет. Механизм "вымагания/сбора денег" еще не смотрел - не интересно - либо обман, либо адаптирован под некую одну платежную систему. 0

@rash26ru 0 / 0 / 0 Регистрация: 08.01.2015 Сообщений: 6
	09.01.2015, 14:05 [ТС]	10
	Вот!!! Меня тоже интересует запуск и невозможность убрать картинку, чтобы все поняли смысл, хочу сделать что то типо шутки но на непродолжительное время минут на пять, а потом самоуничтожение. Я тоже разодрал апк и даже нашел где лежит запись с инструкцией по оплате на лпределенный номер телефона но номера телефона и кода который надо отправить там нет, он находится в отдельной созданной вирусом папке в телефоне. Добавлено через 1 минуту "apk reverse engineering" попробовал но не то что нужно 0

	04.11.2016, 20:41

@Vladimirys 349 / 240 / 34 Регистрация: 16.01.2010 Сообщений: 766
	09.01.2015, 16:40	11
	Плюс ко всему зловерд добавляет себя как еще один администратор. Интересно у граждан не возникает вопросов, зачем плееру столько разрешений, да еще таких экзотичных. Если пользователь сам пихает всякую дрянь на копм ему никакой антивирус не поможет. Запуск через сервис, благо права админа есть, получает сигнал - BOOT_COMPLETED, и стартует. Насколько я понял. Перехвата хоме вроде нет, просто отлавливаться состояние конопок, а так же состояние экрана, включен/выключен. 0

@Vladimirys 349 / 240 / 34 Регистрация: 16.01.2010 Сообщений: 766
	09.01.2015, 18:24	13
	А по данным из Whois - находим нашего кулцхакера. Судя по адресу почты субъект 1996 года рождения. http://www.tcpiputils.com/brow... buha4a.net ... egistrant Name: Vyacheslav Kondratev Registrant Organization: Registrant Street: ul. Koshevogo 54 Registrant City: Dzerdzhinskiy Registrant State/Province: Novosibirskaya Registrant Postal Code: 54511 Registrant Country: RU Registrant Phone: +7.9877458854 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: lock1996@inbox.ru Гражданин, видимо хочет начать карьеру программиста с 273 УК РФ. 0

@androbro 393 / 338 / 83 Регистрация: 17.10.2014 Сообщений: 1,007
	09.01.2015, 21:17	14
	Даа, инфа конечно по всей видимости фейковая, но вот возраст судя по ответу реальный) Изображения 0

@Kira_the_first 7 / 7 / 1 Регистрация: 23.10.2016 Сообщений: 78
	30.10.2016, 17:19	15
	Сообщение от rash26ru вообще убрать чтоб и не было там ничего кроме надписи "низя лазить де не попадя" используйте функцию удаление приложений(ответ на вопрос, удалить через определённое время), если инфа в .html, можно просто заменить строчки на нужные(или воспользоваться поиском), а всё остальное оставить(можна даже в коде не копаться а манифест редактировать) 0

Pablito
	30.10.2016, 19:13 #16
	Не по теме: хватит некропоститть по темам 0

@Kira_the_first 7 / 7 / 1 Регистрация: 23.10.2016 Сообщений: 78
	04.11.2016, 20:41	17
	Сообщение от rash26ru хочу сделать что то типо шутки Я покопался в нём. Не буду спрашивать зачем вы плеер для порнухи установили Есть способ сделать "по вашему", в папке res\layout\activity_main.xml в android:text= написаны 1е 2е 5е и 6е требования(с кракозябрами, но я это списываю на неправильную декомпиляцию, на андройде декомпилил), их можно изменить, а можно и оставить(для смеху), но самое главное убрать в манифесте разрешение на загрузку вместе с системой, юзер перезагрузит телефон, и сможет удалить вредоносную прогу(но это только теория + тестировалось на эмуляторе, через adb не удаляется, только хард резет помогает, не повторять в домашних условиях!). 0