
«Гражданин, обновитесь»: анализ вредоносной кампании Falcon
delvinru 8 минут назад «Гражданин, обновитесь»: анализ вредоносной кампании Falcon Средний 13 мин 78 Блог компании Positive Technologies Информационная безопасность * Android * Реверс-инжиниринг * Кейс «Обновите...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
В сфере искусственного интеллекта произошло заметное событие. delvinru 8 минут назад «Гражданин, обновитесь»: анализ вредоносной кампании Falcon Средний 13 мин 78 Блог компании Positive Technologies Информационная безопасность * Android * Реверс-инжиниринг * Кейс «Обновите приложение». Для большинства пользователей это привычное сообщение, а для хакеров - один из самых надежных и эффективных способ получить контроль над устройством. В этой статье разберем вредоносную кампанию, начавшуюся с apk, замаскированного под российский сервис.
То, что сначала выглядело как очередная вариация банковского трояна, при ближайшем рассмотрении оказалось гораздо интереснее. СодержаниеС чего начинается реверсStage 1 - загрузчикПолезная нагрузкаАнализ загрузчикаStage 2 - бэкдорРаспаковка полезной нагрузкиАнализ бэкдораСетевое взаимодействиеTrello в качестве хостинга ВПОАтрибуцияОбразцы: 2022 vs. 2026 ОбфускацияПолезная нагрузка: сравнение версийWork In ProgressЗаключениеИндикаторы компрометацииС чего начинается реверсПривет!
Технические детали
Я Алексей Колесников из отдела экспертизы PT Sandbox. Мы постоянно изучаем актуальные угрозы для улучшения наших продуктов и защиты пользователей. В огромном потоке файлов очень легко пропустить интересные семплы, но в данном случае мне повезло и глаз зацепился за, казалось, ничем не примечательную, картинку:Первоначальный вердикт PT SandboxЧто полезного на ней можно увидеть?
Сработала метка «Формат подделан» и вердикт по ней «apk. Рекомендую ознакомиться с отличной статьей, которая подробно раскрывает эту вредоносную технику: Beware of BadPack: One Weird Trick Being Used Against Android Devices;Сохраняются непонятные файлы с расширением . png (файловые дропы);Загрузка кода в память (dex-дампы);Название «mir-pay.
Перед тем как начать изучать файл, было выдвинуто предположение, что это еще одна скучная вариация вредоноса Mamont, поскольку имя намекает на известную систему платежей, которая часто встречалась в этом семействе. Stage 1 - загрузчикРассмотрим подробнее образец - 4409052221924df581fb271d27acd7338c0efb5aea593ac811f4ffdb0abed7a6При просмотре AndroidManifest. xml в jadx виден класс io.
Отраслевые последствия
Ipperfluid, который будет запущен перед основным кодом приложения. Обычно при запуске происходит следующее:Ставятся обработчики на глобальные исключения, чтобы эксперты могли определять, что пошло не так, и делать исправления;Проводятся иные подготовительные действия;Распаковывается код полезной нагрузки. xmlПолезная нагрузкаВ коде данного класса присутствует множество математических вычислений и код сильно отличается от реального кода стандартных приложений.
Все это намекает на то, что в этом классе будет происходить распаковка полезной нагрузки. Упакованный код приложенияТакже приложение практически не содержит реальных классов. Это точно свидетельствует, что полезная нагрузка была упакована, чтобы сбить обнаружение статическими средствами анализа, а значит нужно ее достать.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.





