Чем и как реверсить китайский вирус?

Question

[devalone]

История следующая: заказали сестре телефон с китая cubot echo, пришёл, работает отлично, но спустя какое-то время пользования doctor web находит вирус в файле /system/app/CallerIdSearch/CallerIdSearch.apk. Скачал директорию на комп, там лежал этот файл и ещё один ./oat/armCallerIdSearch.odex. virustotal тоже показывает, что вирус https://virustotal.com/en/file/a6e09048369cdff4f09... https://virustotal.com/en/file/801d5d45507a2257565... Утилита file показала

CallerIdSearch.odex: ELF 32-bit LSB shared object, ARM, EABI5 version 1 (GNU/Linux), dynamically linked, stripped

strings CallerIdSearch.odex |grep http
находит

http://alog.umeng.co/app_logs
http://alog.umeng.com/app_logs
http://ciddb.iappgame.com/
http://log.umsns.com/
http://log.umsns.com/share/api/
http://www.google-analytics.com/collect
https://ssl.google-analytics.com/collect

В китайском не силён, в переводе переведённого гугл транслейтом текста на русский тоже, но похоже на какой-то сервис обработки данных. Вот этот адрес ciddb.iappgame.com вообще странный, по нему открывается xml файл с какими-то странными данными.
Дальше решил разобрать apk, декомпилировал с помощью jadx и получил частично обфусцированные исходники. В файле AndroidManifest.xml нашлись строчки

<meta-data android:name="UMENG_APPKEY" android:value="56259ea3e0f55a5c17006ab0" />
<meta-data android:name="UMENG_CHANNEL" android:value="" />
<meta-data android:name="MP_FY_APPKEY" android:value="ZW26RFW7883RDVXCGV38" />

вероятно api ключи от тех сайтов. Структура файлов следующая https://pastebin.com/wzNVVKqX
или если смотреть только директории

spoiler

.
├── assets
│ └── d
├── com
│ ├── android
│ │ ├── service
│ │ └── tools
│ │ └── callassistant
│ │ ├── p004a
│ │ ├── p005b
│ │ ├── phone
│ │ ├── report1
│ │ └── update
│ ├── google
│ │ ├── analytics
│ │ │ └── tracking
│ │ │ └── android
│ │ ├── android
│ │ │ └── gms
│ │ │ ├── analytics
│ │ │ │ └── internal
│ │ │ └── common
│ │ │ └── util
│ │ └── gson
│ │ ├── annotations
│ │ ├── internal
│ │ │ └── bind
│ │ ├── reflect
│ │ └── stream
│ ├── p002a
│ │ └── p003b
│ └── umeng
│ └── analytics
│ └── social
├── original
│ └── META-INF
├── p000a
│ └── p001a
└── unknown

Лёгкий grep по исходникам находит те же url'ы, один из них в файле /com/umeng/analytics/AnalyticsConstants.java

package com.umeng.analytics;

/* renamed from: com.umeng.analytics.a */
public class AnalyticsConstants {
    public static final String f1289a = "Android";
    public static final String f1290b = "Android";
    public static final String f1291c = "5.6.1";
    public static final String f1292d = "5.6.1.0";
    public static final String f1293e = "MobclickAgent";
    public static final String[] f1294f;
    public static final long f1295g = 86400000;
    public static final long f1296h = 3600000;
    public static final boolean f1297i = false;
    public static final int f1298j = 64;
    public static final int f1299k = 32;
    public static final int f1300l = 64;

    static {
        f1294f = new String[]{"http://alog.umeng.com/app_logs", "http://alog.umeng.co/app_logs"};
    }
}

Как ещё можно препарировать этот китайский подарок? Может есть песочницы, которые покажут, что делает приложение?
P.S. Если есть желающие заняться реверсом, велкам
itm.d3d.info/static/core/somethinginteresting/app.zip
itm.d3d.info/static/core/somethinginteresting/sour...

Comments

[goju]

Их что сразу на заводе вирусами пичкают?

[Иван]

goju: да )

[Иван]

А зачем вам его дальше реверсить, если он детектится и вы можете удалить его с помощью рута?

[devalone]

Иван: интерес же. Удалить то можно да, но кто гарантирует, что там больше ничего не запрятано подобного?

[Иван]

devalone: Просто как человек, который возможно и реверсил этот самый вирус скажу вам, что ничего особо интересного там скорее всего нет )
Если это Android.Spy то обычная стата, если другое наименование может еще что есть

Answer 1

[pfg21]

Это не вирус, это шпион, который снимает интересующие производителя данные с работы устройства.
Вполне возможно что сие действо безвредно - снимаются данные о работе и стабильности устройства, производитель отслеживает качество продукта. Никаких данных о действиях пользователя не собирается.
Но вполне возможна и большая функциональность.

такими шпионами даже самсунг балуется.

самое тупое решение - забить урлы нулями в бинарнике и переподписать приложение.

Comments

[devalone]

Т.е. по твоему сам факт подобных шпионов - это норма? Даже не для параноиков это может быть проблемой, т.к. он садит аккумулятор и жрёт интернет трафик. Да, может он и собирает данные "для улучшения последующих версий" и делает это анонимно, но чтоб узнать это нужно реверсить более серьёзно.

самое тупое решение - забить урлы нулями в бинарнике и переподписать приложение.

Нет гарантии, что там больше подобных сюрпризов нет, они могли зашить например в какое-нибудь приложение камеры код, который будет с определённой переодичностью обновлять этот вирус или распаковывать новый под другим названием. Может я паранойю, да)

[pfg21]

devalone: так-то да, если есть возможность получать деньги от шпионажа, дык почему ж ей не воспользоваться.
Самсунг шпиона в умные телики засовывал, с год назад проскакивало раскрытие, яндекс с гуглем отслеживают через рекламу на каких сайтах любит сидеть пользователь, но там хоть явное применение - таргетинг онной рекламы. почитал юмор на рыбацком сайте и тебе еще неделю будут во всякой рекламе удочки с лодочками подсовываться.
про 10ую винду ваапче молчу, она рассылает кучу всего по длинному списку серверов. но ниче, пипл хавает и бабло проплачивает.
и т.д. и т.п. тырнет он же свободный.
да не, нормальная паранойя, для излечения от нее посоветую прокачать скилы технического и компутерного знания. будешь меньше бояться и больше понимать.
на мой взгляд в таком извращении как зашитый бекдор сильного смысла нет, ушли времена вирусов, захват твоего телефона производителю точно нах не нужно. почитай 4пда, там с большой вероятностью есть тема твоего тела и описание от более продвинутых где что и как.

[devalone]

Одно дело сбор статистики на сайтах яндекс метрикой или её гугловским аналогом, а совсем другое, когда это делается на твоём устройстве без твоего ведома. Десятой виндой не пользовался, поэтому не знаю, что там и как.

да не, нормальная паранойя, для излечения от нее посоветую прокачать скилы технического и компутерного знания. будешь меньше бояться и больше понимать.

Обычно наоборот, спокойствие в неведении) Т.е. ты думаешь, что встраивание кода в приложения невозможно? Производитель может и ядро модифицировать, понятное дело, что не будет. На 4pda у людей смартфоны дешёвых моделей сами ставили приложения, показывали рекламу на весь экран и после удаления этого самого apk, про который идёт речь в моём посте, всё магическим образом прекращалось. Ты это тоже считаешь нормальным?

[pfg21]

всё одно - комплект ББ смотрит за тобой.
больше половины работающих программ компа простому пользователю неизвестна и невидна.
Прошу, не путай бекдор со шпионом, это совершенно разный уровень троянцев. и не называй все это совершенно несвязанным с ними словом "вирус" - это глупость.

в неведении латентность :) а это несколько разные вещи.

возможно все: в сетевой карточке твоего компа крутится своя отдельная микроскопическая операционная система, которую теоретически можно вскрыть и подменить. также можно подменить микрокод проца, прошивку звуковухи, видюхи и кучи всего.
не разводи паранойю. у меня один знакомый выходит в сеть только через lynx и, в исключительных случаях, w3m по tor с отключенными интерактивными элементами.
если не нравится то вполне можешь качнуть исходники андроида и компильнуть все сам - тогда будет самая чистая и правильная прошивка.

[devalone]

pfg21: ага, а ещё тебе в мозг могли вживить чип инопланетяне, пока ты спал и сейчас они следят за тобой и видят всё то, что видишь ты. Не вижу смысла продолжать этот бессмысленный диалог.

[pfg21]

devalone: согласен :)