Интересно Обзор Android malware - FreeWar

MrBadGGuy

Завхоз PR-группы
Команда форума
PR-group
Пользователь
Регистрация
22 Фев 2019
Сообщения
101
Баллы
0
Веб-сайт
opencard.pw
Общие продажи
0$
Общие покупки
0$
[копипаста]

Всем привет, недавно обратился ко мне FreeWar для написания рецензии, а если точнее за ддосил :) просто реально не хватает времени, ну да ладно, приступим..

Получил его софт, админка в тор, apk, билдер склейки приложений. Ну начнем все по порядку. Автор просил не прилагать полные скриншоты админки в целях приватности продукта. Поэтому скриншоты сделаны частично некоторых важных частей интерфейса и кода.

Начнем с админки. Автор размещает только все на своих серверах в целях безопасности, а так же только в onion зоне. Внешне выглядит почти как и весь софт. Имеется билдер. Но сам билдер находится на других серверах, что делает сборку апк затяжной и занимает до 30 минут. Со слов автора.

В билдере можно указать
  1. имя приложения
  2. иконку
  3. стартовый лендинг (в виде html) который показывается пользователю при старте APK.

screen builder.png



И так пробуем. После заполнения билда я получил файл примерное через 15 минут. Файлы загружаются в админку где их можно скачать. Примерно как у EXO бота. На выходе получаем файл примерно 800кб. Довольно таки тяжелый файл.

Вот его скан. На момент тестирования было 2/57. Автор разрешил проверять софт на virustotal. Безумец :)


screen check av.png



Уточнил у автора почему такой большой размер, оказалось из-за лендинга при старте, используется разводка с gif анимацией. И действительно стартовый лендинг можно заменить на свой. И размер уменьшится. Путем эксперимента я получил размер примерно в 100кб. Что уже неплохо.

И так первый запуск, приложение запросило права на специальные возможности, через довольно красивый лендинг проверки антивируса с анимацией. Отстук пришлось ждать аж 2-3 минуты первый. Что крайне странно. Пообщавшись с автором, он сказал что это из-за модульности. Ниже я приведу проверки по коду всех слов.

Набор команд стандартный sms, contacts, applications, keylogger, socks5, injects, CC, loader, browser history, file manager. Все работает как заявлено.

Удобно что софт раз в 30 минут обновляет все данные по телефону самостоятельно и не надо давать ни какие команды. Так же есть раздел с автокомандами, но настройка на данный момент крайне сложна. И без мануала я не разобрался. В общем автор над GUI тебе стоит еще много порабоать. Так же команды, выполняются с небольшой задержкой и иногда не удобно ждать, когда нужно что-то быстро провести. В админке есть ссылка для траферов, но она одна и это не удобно.

По интерфейсу удобно сделана система фильтров а так же статистика. Ведется даже учет как пользователь использует телефон и какие приложения открывает. Можно фильтровать по этим приложениям.

Автора обвинили в работе по ру. Но это вполне стандартная админка для ботов. Где нет ни балансов банков, ни смс заливов. В общем по крайней мере в веб версии этого замечено не было.

И так перейдем к анализу самого файла.

Декомпилировав файл, могу сказать что данные довольно хорошо шифруются и модифицируются.

Первое, файл обрабатывается Proguard. Что усложняет крайне читабельность кода.
В файле все строки зашифрованы алгоритмом base64 + какой-то еще. Что крайне усложняет анализ даже по коду. Нет ни одной отладочной функции.
Имена классов и функций тоже проходят частичную обработку.


screen encrypt text.png



Из скриншотов видно что код очень трудно читаем. Так же пробежав по всем файлам, я не нашел ни какого функционала, кроме как запроса прав и минимальный код для работы, что подтверждает что бот модульный. Нашел


screen dex.png



Нашел часть функционала, где скорее всего идет проверка на эмулятор и другие флаги. Но с учетом того что в файле нет ни каких строк, очень сложно провести проверку на что именно проверяет функция.

После запуска на эмуляторе. Апк вообще ни какой активности не проводит, просто закрывает основную активити и все. Так же меня просили уточнить как я писал выше на работу по СНГ. На реальном телефоне с русским языком, приложение тоже не запустилось. Видимо работает та же проверка.


screen sandbox.png



Так же заметил, что через некоторое после установки время, приложение постоянно загружает какие-то dex файлы на телефон, но они тоже шифрованные. И схожи по структуре с основным. Но я так понял это и есть модули.

Что мне понравилось, в комплекте к софту идет билдер с помощью которого можно склеивать лоадеры с почти любыми мелыми приложениями без исходников, имея только апк и загружать их в Google Play. Загрузку проверить я не успел. Но способ рабочий, попробовал склеить с антивирусом. И оно реально работает. И что интересно, софт отстукивает в ту же админку что и сам бот. Где можно потом отфильтровать их.

Оценочное мнение.
  1. Софту нужны доработка как и в админке так и по производительности
  2. Софт работает хоть и медленно, но довольно стабильно
  3. Софт не работает по СНГ
  4. Имеется очень хорошая защита от реверса
  5. Админку исходники мне не предоставили, поэтому функционал я проверял только внешне. Но не хватает ajax. Хотя в некоторых местах он уже есть и я думаю автор доделает.
  6. Дружелюбный автор, всегда все разъяснит
  7. Интересные плюшки, в виде автоматизаций.

FreeWar успехов в бизе.

maza-in (c)