Вскрытие android-ных зловредов, что скрывается под капотом различной "заразы"!? Часть-I

И так дорогие пользователи и гости данного ресурса, сегодня мы попытаемся глянуть на различных зловредов из стана Android^)
Готовим: халат, шапочку, бахилы и перчатки....не забываем и о другом инструменте:) и не пьем (не курим и не вдыхаем...) ничего сильнодействующего....:)!

В коллекциях у многих антивирусных компаний уже набралось где-то до 10 миллионов образцов всякой заразы...Но примерно 9 миллионов 995 тысяч из них - это элементарные переименованные копии оригинальной малвари. Если глянуть исходный код нескольких тысяч образцов, то можно заметить небольшое количество уникальных функциональных блоков (с уникальными комбинациями и не менее уникальными "технологическими этюдами").

Чаще всего, "бывшие коллеги" (мда, давно уже не балюсь такими вещами, честно...) элементарно от лени или в торопях, используют тривиальный функционал:

- отправить sms на платник;
- завладеть конфеденциальной инфой пользователя девайса...файло с SD-карты, дамп телефонной книжки смарта, архив sms:);
- собрать максимальное количество системной инфы о зараженном девайсе;
- получить рут-доступ на устройстве, чтобы в фоне делать все, что привидется воспаленному мозгу хозяина зловреда....;
- отслеживание и получение логинов и пассов, номера кредиток и пины к ним, которые многие хранят в приложениях, типа - заметки....:).

Но это была "проза" в мобильном аспекте зловредных вещей!:)

Первые "клиенты", в нашем программном морге:

1.AdSms
2.FakePlayer
3.HippoSms

Функционал - Отправка sms.
Это обычные sms-трояны, отправляют сообщения на платники без согласия пользователя мобильного девайса. Создать или переписать такую прожку обычно легко и процесс получения денег на пиво!;), обычно также предельно прост, чем грабить банковские данные....:)

Пример кода, элементарно функции отправки SMS, правда ее можно усложнить проверкой статуса отправки сообщений, выбором мобильного номера и последующим удалением sms после отправки:

private static SendSms (String DestNumber , String SmsText) {
// Попытка запуска метода sendTextMessage обьекта
// SmsManager (стандартная программа для отправки
// SMS у текущего устройства) с минимальным
// количеством параметров: номер получателя
// и текст сообщения
try {
SmsManager .getDefault() .sendTextMessage
(DestNumber,null,SmsText,null,null);
return true;
}
}
Запись пользовательской приватной инфы в текстовый файлик:

"Тела":
1.NickySpy;
2.SmsSpy;

В большинстве случаев заражение этими пакостями происходит через инсталл приложений, особенно с левых, так сказать "бесплатных" маркетов:) и если вы скачали apk с файлообменника не потрудитесь открыть его архив и глянуть в следующие части...:

resuorces.arsc - таблица ресурсов;
res (папка) - собственно ресурсы (графические иконки и прочая лабуда...);
META-INF (папка) - файлы контрольных сумм ресурсов, сертификат приложения и версия сборки APK;
AndroidManifest.xml - служебная информация, вместе с разрешениями, которые нужны для корректной работы приложения...

classes.dex - в нем наряду с нужными и полезными классами, может содержаться вредоносные,...как раз вирусный код, который мы анализируем...?

Это была первая часть, даже больше введение....!:)