Форум программистов, компьютерный форум, киберфорум
Наши страницы

Программирование мобильных систем

Войти
Регистрация
Восстановить пароль
 
DevAlone
321 / 273 / 55
Регистрация: 02.08.2016
Сообщений: 1,008
Завершенные тесты: 4
#1

Чем и как реверсить китайский вирус? - Программирование

10.05.2017, 00:44. Просмотров 431. Ответов 0
Метки нет (Все метки)

История следующая: заказали сестре телефон с китая cubot echo, пришёл, работает отлично, но спустя какое-то время пользования doctor web находит вирус в файле /system/app/CallerIdSearch/CallerIdSearch.apk. Скачал директорию на комп, там лежал этот файл и ещё один ./oat/armCallerIdSearch.odex. virustotal тоже показывает, что вирус https://virustotal.com/en/file/a6e09...9811/analysis/ https://virustotal.com/en/file/801d5...2cb0/analysis/. Утилита file показала
Bash
1
CallerIdSearch.odex: ELF 32-bit LSB shared object, ARM, EABI5 version 1 (GNU/Linux), dynamically linked, stripped
Bash
1
strings CallerIdSearch.odex |grep http
находит

http://alog.umeng.co/app_logs
http://alog.umeng.com/app_logs
http://ciddb.iappgame.com/
http://log.umsns.com/
http://log.umsns.com/share/api/
http://www.google-analytics.com/collect
https://ssl.google-analytics.com/collect


В китайском не силён, в переводе переведённого гугл транслейтом текста на русский тоже, но похоже на какой-то сервис обработки данных. Вот этот адрес http://ciddb.iappgame.com/ вообще странный, по нему открывается xml файл с какими-то странными данными.
Дальше решил разобрать apk, декомпилировал с помощью jadx и получил частично обфусцированные исходники. В файле AndroidManifest.xml нашлись строчки
XML
1
2
3
<meta-data android:name="UMENG_APPKEY" android:value="56259ea3e0f55a5c17006ab0" />
<meta-data android:name="UMENG_CHANNEL" android:value="" />
<meta-data android:name="MP_FY_APPKEY" android:value="ZW26RFW7883RDVXCGV38" />
вероятно api ключи от тех сайтов. Структура файлов следующая https://pastebin.com/wzNVVKqX
или если смотреть только директории
├── assets
│ └── d
├── com
│ ├── android
│ │ ├── service
│ │ └── tools
│ │ └── callassistant
│ │ ├── p004a
│ │ ├── p005b
│ │ ├── phone
│ │ ├── report1
│ │ └── update
│ ├── google
│ │ ├── analytics
│ │ │ └── tracking
│ │ │ └── android
│ │ ├── android
│ │ │ └── gms
│ │ │ ├── analytics
│ │ │ │ └── internal
│ │ │ └── common
│ │ │ └── util
│ │ └── gson
│ │ ├── annotations
│ │ ├── internal
│ │ │ └── bind
│ │ ├── reflect
│ │ └── stream
│ ├── p002a
│ │ └── p003b
│ └── umeng
│ └── analytics
│ └── social
├── original
│ └── META-INF
├── p000a
│ └── p001a
└── unknown
Лёгкий grep по исходникам находит те же url'ы, один из них в файле /com/umeng/analytics/AnalyticsConstants.java
Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
package com.umeng.analytics;
 
/* renamed from: com.umeng.analytics.a */
public class AnalyticsConstants {
    public static final String f1289a = "Android";
    public static final String f1290b = "Android";
    public static final String f1291c = "5.6.1";
    public static final String f1292d = "5.6.1.0";
    public static final String f1293e = "MobclickAgent";
    public static final String[] f1294f;
    public static final long f1295g = 86400000;
    public static final long f1296h = 3600000;
    public static final boolean f1297i = false;
    public static final int f1298j = 64;
    public static final int f1299k = 32;
    public static final int f1300l = 64;
 
    static {
        f1294f = new String[]{"http://alog.umeng.com/app_logs", "http://alog.umeng.co/app_logs"};
    }
}
Как ещё можно препарировать этот китайский подарок? Может есть песочницы, которые покажут, что делает приложение?
P.S. Если есть желающие заняться реверсом, велкам
http://itm.d3d.info/static/core/somethinginteresting/app.zip
http://itm.d3d.info/static/core/somethinginteresting/sources.zip
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
10.05.2017, 00:44
Здравствуйте! Я подобрал для вас темы с ответами на вопрос Чем и как реверсить китайский вирус? (Программирование):

Как удалить китайский вирус/антивирус? - Удаление вирусов
Здравствуйте. Подцепил китайский вирус, который наустанавливал мне кучу ненужного софта. Так же он делает вид, что он антивирус, блокировал...

Китайский вирус как его удалить? - Удаление вирусов
Установился вирус с иероглифами! антивирусный не на ходит!! как его убрать?

Скачал нужный архив а там вирус Baidu китайский, как удалить его? - Удаление вирусов
Скачал нужный архив а там вирус Baidu китайский как удалить его? Добавлено через 1 минуту Как логи сделать Добавлено через 39...

Китайский вирус - Удаление вирусов
Аналогичная этой проблема. Прилагаю логи.

Китайский вирус - Удаление вирусов
Ни какие антивирусы не помогают.

Китайский вирус - Удаление вирусов
Добрый день. Не пойму как у Вас написать сообщение о помощи для удаления китайского вируса Baidu\BaiduAn??? Подскажите, пож-та!

0
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
10.05.2017, 00:44
Привет! Вот еще темы с ответами:

Китайский вирус - Удаление вирусов
Вместе с программой CCleaner установился какой то китайский вирус, хотел сделать лог при помощи авз, так при запуске авз выходит эта...

Китайский вирус - Удаление вирусов
ClearLNK by Alex Dragokas ver. 2.8.0.10 OS: x64 Windows 8.1 Professional, 6.3.9600, Service...

Китайский вирус - Удаление вирусов
Здравствуйте! Помогите, пожалуйста, удалить.

Китайский вирус - Удаление вирусов
Здравствуйте! Помогите, пожалуйста, избавиться от китайского вируса. Даже не знаю, как он называется, в диспетчере задач отображается как...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
1
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru