Поиск шпиона. перехват траффика, как правильно анализировать?

Question

[personFromInternet]

Здравствуйте. Имею подозрение, что на моём устройстве Android стоит шпион программа. Хочу понять как её обнаружить. Научился перехватывать трафик через Wireshark конкретно со смартфона. Использую "Mobile hotspot" и фильтрую по мак-адресу смартфон.

Получаю множество IP адресов. Интересует каким образом проверять все эти IP адреса? Какие из них есть хорошими, а какие могут быть использованы шпионом? Есть ли какие-то сервисы для проверки списков IP? Или необходимо каждый адрес вручную проверять?

Посоветуйте, пожалуйста, алгоритм действий после того как удалось начать мониторить трафик с исследуемого устройства.

Answer 1

[GavriKos]

Получаю множество IP адресов. Интересует каким образом проверять все эти IP адреса? Какие из них есть хорошими, а какие могут быть использованы шпионом? Есть ли какие-то сервисы для проверки списков IP? Или необходимо каждый адрес вручную проверять?

Никак. IP-адрес вам никак не покажет плохой он или хороший.
Анализировать надо состав пакета, если уж про сетевую активность речь. А лучше просто нафиг купить новый телефон и все. Никому ваши фотки с котиками не нужны

Answer 2

[Drno]

вручную

Comments

[personFromInternet]

каждый ип копировать в WHOIS сервис и смотреть чей он?

[Drno]

personFromInternet, по сути да
либо использовать сервсисы в которые можно выгружать списком. но я ими не пользовался

[GavriKos]

personFromInternet, это ничего не даст. Ну будет там написано - айпи принадлежит гуглу. Это хорошо или плохо? (и в данном случае это не шутка про то, что больше всех за вами шпионит гугл)

Answer 3

[mayton2019]

Путем сравнения. Берешь любой другой телефон. И начинаешь собирать сведенья (хотя-бы в течение суток)
на какие адреса тот ходит. После сбора такой биг-даты еще хорошо-бы парочку других телефонов проверить.

Потом берешь свой и сравниваешь.

Answer 4

[Алексей Мартыненко]

Будьте хитрее своего маленького Штирлица. Есть сервис grabify.link. Суть в том, что он сокращает ссылку и парсит IP-адреса всех тех, кто по ней проходил. Вставьте в сервисе ссылку на какую-нибудь чепуху (да хоть вот на эту) и отправьте самому себе под видом товарища, будто бы вам кто-то это скинул. Придумайте заманчивую подпись для Вашего Штирлица. Так вы найдете его IP. Но как писали коллеги выше, особой роли он не сыграет.

Answer 5

[CityCat4]

Сбросить к заводу и восстановить. Поиск закладки займет куда больше времени. Либо (если нет ценности в железе) - сбросить к заводу, продать и купить новый (я бы так поступил)

Answer 6

[ValdikSS]

У Лаборатории Касперского есть ПО для обнаружения шпионов (stalkerware) путём анализа трафика.
https://github.com/KasperskyLab/TinyCheck

Обновляемые списки индикаторов есть на https://github.com/AssoEchap/stalkerware-indicators