Привет, с вами снова отдел реагирования и цифровой криминалистики Angara MTDR. Наш эксперт Александр Гантимуров, руководитель направления обратной разработки Angara MTDR, исследовал вредоносные APK-файлы, которые активно используют злоумышленники в социальных сетях и мессенджерах под видом срочной распродажи личных вещей.
Результаты исследования
Переданные на исследование APK-файлы незначительно отличаются по размеру и представляют собой ВПО семейства Mamont для Android. Зловреды предназначены для скрытного получения и отправки сообщений, сбора информации о заражённом устройстве, отправки USSD-команд, просмотра уведомлений и открытия произвольных URL.
Backdoor.Android.Mamont.12 (Mamont)
MD5 |
Имя файла |
Размер |
3333a455c87150b958986bc2760af528 |
Фото 24шт.apk |
9.73 MB |
05c8202b2570a86b47a7eca8db77e0d7 |
photo12.apk |
10.70 MB |
При открытии вредоносное приложение запрашивает доступ к получению и отправке SMS, а также к звонкам и камере.
После предоставления всех запрашиваемых разрешений открывается фишинговая страница, которая указана в настройках при создании приложения. В нашем случае открывается имитация сервиса по обмену изображениями. Такие ресурсы могут собирать пользовательские учётные данные.
В других случаях приложение может использовать вполне легитимный сайт, чтобы не вызывать подозрений у пользователя.
Разрешения
На заражённом устройстве вредоносное приложение получает следующие разрешения:
Разрешение |
Описание |
android.permission.SEND_SMS |
Отправка SMS |
android.permission.READ_PHONE_STATE |
Чтение состояния телефона (в том числе IMEI) |
Чтение SMS |
|
android.permission.RECEIVE_SMS |
Получение SMS |
android.permission.READ_CONTACTS |
Чтение контактов |
android.permission.RECEIVE_BOOT_COMPLETED |
Автозагрузка при старте устройства |
android.permission.FOREGROUND_SERVICE |
Работа в фоновом режиме |
android.permission.CALL_PHONE |
Осуществление звонков |
Доступ к камере устройства |
Защита от исследования
Для сокрытия вредоносного функционала и усложнения исследования все основные строки в приложении зашифрованы при помощи obfuse.NPStringFog.
После расшифровки они выглядят следующим образом:
Конфигурация
Основные настройки для осуществления деятельности хранятся в классе BuildConfig.
В большинстве случаев конфигурация хранится в открытом виде.
Дополнительно на удалённый сайт отправляется информация о работе приложение через класс RemoteLogger. URL для отправки также указан в открытом виде.
Кроме этого, в коде приложения реализован EnhancedRemoteLogger, который также может отправлять информацию, но в исследуемой нами версии ВПО он никак не используется.
Команды
Всё взаимодействие злоумышленника с удалённым сервером происходит через retrofit2. Команды и результаты работы отправляются в формате JSON.
Злоумышленник может отправлять следующие команды:
· refresh_sms — отправить SMS на удалённый сервер;
· get_permissions_status — отправить список доступных разрешений;
· check_online — сообщить о доступности через интернет;
· send_ussd — отправить USSD на указанный номер;
· send_sms — отправить SMS на указанный номер;
· open_link — открыть указанный URL во встроенном браузере;
· delete_sms — удалить указанную SMS.
Особенности
В коде приложения есть отладочные комментарии и сообщения на русском языке.
В API для взаимодействия с удалённым сервером злоумышленника реализован метод uploadVerificationData, который в настоящее время никак не используется.
Судя по коду, подразумевается, что в перспективе злоумышленнику будут отправляться сведения о номере паспорта, дате рождения и информация об устройстве.
Кроме того, в коде приложения выявлены следующие неиспользуемые строки:
Это также говорит о планах по дальнейшему расширению функционала ВПО и добавлению возможности «пройти верификацию». Видеоматериалы с лицом пользователя могут использоваться для создания фишинговых сообщений и дальнейшего распространения.
Индикаторы компрометации
Источник |
Тип |
Значение |
05c8202b2570a86b47a7eca8db77e0d7 |
url |
hxxps://photricity[.]com/flw/ajax/ |
05c8202b2570a86b47a7eca8db77e0d7 |
url |
hxxps://libertylibertypopcorn[.]live/ |
3333a455c87150b958986bc2760af528 |
url |
hxxps://libertydroid-xraycomm[.]top/remote_logs/log_receiver.php |
3333a455c87150b958986bc2760af528 |
url |
hxxps://libertydroid[.]com/remote_logs/log_receiver.php |
3333a455c87150b958986bc2760af528 |
url |
hxxps://ibb[.]co/MxnMtnGV |
3333a455c87150b958986bc2760af528 |
url |
hxxps://libertydroidwestthebest[.]live/ |
Yara
rule malware_android_Mamont_12 {
meta:
description = "[ Malware ] Detected Mamont malicious APK"
author = "Gantimurov/Angara MTDR"
date = "2025-11-20"
tlp = "WHITE"
score = 100
hash = "05c8202b2570a86b47a7eca8db77e0d7"
strings:
$s1 = "com.jaconda.infowebseq" wide
$m1 = "HeadlessSmsSendService" wide
$m2 = "SMSActivity" wide
$m3 = "PermissionHandlerActivity" wide
$m4 = "SMSReceiver" wide
$m5 = "SecretCodeReceiver" wide
$p1 = "android.provider.Telephony.SECRET_CODE" wide
$p2 = "android.permission.SEND_RESPOND_VIA_MESSAGE" wide
$p3 = "android.permission.BROADCAST_WAP_PUSH" wide
condition:
uint32be(0) == 0x504B0304 and // Android APK
($s1 or ( all of ($m*) and all of ($p*)))
}
Итоги
Изучение данного вредоноса показало, что злоумышленники готовятся к широкомасштабной кампании по сбору персональных данных и последующему их использованию. Эксперты Angara MTDR настоятельно рекомендуют:
- отключить автозагрузку файлов в Telegram и проверять формат файлов перед их скачиванием;
- не устанавливать APK-файлы из сторонних источников, чатов и мессенджеров;
- перед скачиванием файлов в форматах «.docx», «.xlsx» и «.pdf» проверять их на специальных сервисах, например на VirusTotal;
- установить и использовать антивирусные приложения на мобильном устройстве.
JBFW
Я не понял: это эксплуатируется уязвимость в прошивке головы пользователя, позволяющая произвольной "фотографии" получать разрешения доступа к телефону, или что?
dapoxvasche
да, называется сосыальный инжирниринг