Pokemon- Go: Hiểm họa khôn lường
Pokemon- Go đang là trò chơi hot nhất trên cộng động mạng hiện nay, mình thì không có hứng thú lắm nhưng cũng tò mò xem game này hay ho ở điểm nào mà lại làm dân tình điên đảo như vậy. Và tình cờ, cách đây không lâu mình có vớ được bài viết này:
https://whitehat.vn/forum/thao...mon-go-gia-mao
Nội dung của bài viết nói về mối nguy hiểm từ việc cài Pokemon- Go từ những nguồn không chính thống
Sẵn dịp đang có hứng thú mày mò nên mình đã làm một số điều tra nhỏ xem thực hư về việc tồn tại mã độc trong các bản cài Pokemon- Go giả mạo là thế nào . Hôm nay xin được mạn phép đăng lên đây để anh chị em cũng nhau bình loạn và “chém gió” =)))
Bước 1: Mình tải các file cài đặt game từ Google-play (nguồn chính thống) và các nguồn bên ngoài.
Bước 2: Dựa vào checksum để tìm các file cài khả nghi
1. Mình tiến hành tính checksum của file cài gốc (từ Google- Play)
2. Để tất cả các file còn lại vào cùng thư mục và kiểm tra xem file nào có checksum khác với file tải từ Google-play.
3. File pkm.apk có checksum khác với các file còn lại, trong khi tải về cùng phiên bản 0.29.0 => đã tìm thấy file khả nghi
Bước 3: Dịch ngựơc 2 file rồi so xem thế nào??
Trong class CallListener của package net.droidjack.server có các method
Vào đường dẫn thu được ở trên, ta thấy trang chủ của droidjack, một trong những loại RAT nguy hiểm nhất trên Android.
Khi máy bị nhiễm loại RAT này thì hacker đã hoàn toàn kiểm soát thiết bị, bật kết nối wifi, dữ liệu di động, ghi âm,quay phim, đọc tin nhắn, lịch sử duyệt web… Và gửi về C&C server.
Ta có thể thấy rõ địa chỉ và cổng kết nối đến C&C server trong đoạn code phía trên.
Kết luận: như vậy khi tải ứng dụng từ third-party sources, nguy cơ người dùng bị nhiễm mã độc là không hề nhỏ, những con RAT này một khi đã được cài vào thiết bị cá nhân sẽ dẫn đến các hậu quả khôn lường không chỉ đối với cá nhân người dùng mà nó còn có thể trở thành một hướng xâm nhập mới đối với toàn bộ hệ thống mạng mà thiết bị đó kết nối tới.
Cảm ơn anh em đã quan tâm ^_^
https://whitehat.vn/forum/thao...mon-go-gia-mao
Nội dung của bài viết nói về mối nguy hiểm từ việc cài Pokemon- Go từ những nguồn không chính thống
Sẵn dịp đang có hứng thú mày mò nên mình đã làm một số điều tra nhỏ xem thực hư về việc tồn tại mã độc trong các bản cài Pokemon- Go giả mạo là thế nào . Hôm nay xin được mạn phép đăng lên đây để anh chị em cũng nhau bình loạn và “chém gió” =)))Bước 1: Mình tải các file cài đặt game từ Google-play (nguồn chính thống) và các nguồn bên ngoài.
Bước 2: Dựa vào checksum để tìm các file cài khả nghi
1. Mình tiến hành tính checksum của file cài gốc (từ Google- Play)
2. Để tất cả các file còn lại vào cùng thư mục và kiểm tra xem file nào có checksum khác với file tải từ Google-play.
3. File pkm.apk có checksum khác với các file còn lại, trong khi tải về cùng phiên bản 0.29.0 => đã tìm thấy file khả nghi
Bước 3: Dịch ngựơc 2 file rồi so xem thế nào??
- Nhận thấy ở file tải từ third-party source có thêm 3 package là a, b và net.droidjack.server.
Trong class CallListener của package net.droidjack.server có các method
- private void a(boolean z) : bật kết nối wifi.
- private void b(boolean z) : bật kết nối dữ liệu di động.
- protected void a(File file) : ghi âm từ micro và lưu vào file.
- public void onReceive(Context context, Intent intent) : nghe điện thoại.
- Và các method của class Controller:
- private static void i() : đọc và ghi lại tin nhắn.
- Sơ bộ thì app Pokemon-go được tải từ third-party source này được “khuyến mãi ” thêm một số chức năng ghi lén cực kì nguy hiểm, có thể là 1 con RAT
- Có thể thấy các class được chèn thêm chứa các phương thức với chức năng chẳng khác nào một spyware thu thập thông tin trên máy nạn nhân, kết nối wifi và chờ cơ hội để gửi về cho máy chủ phát tán.
- Ngoài ra trong class ae có hàm thực hiện request đến http://www.droidjack.net/storeReport.php
Vào đường dẫn thu được ở trên, ta thấy trang chủ của droidjack, một trong những loại RAT nguy hiểm nhất trên Android.
Khi máy bị nhiễm loại RAT này thì hacker đã hoàn toàn kiểm soát thiết bị, bật kết nối wifi, dữ liệu di động, ghi âm,quay phim, đọc tin nhắn, lịch sử duyệt web… Và gửi về C&C server.
Ta có thể thấy rõ địa chỉ và cổng kết nối đến C&C server trong đoạn code phía trên.
Kết luận: như vậy khi tải ứng dụng từ third-party sources, nguy cơ người dùng bị nhiễm mã độc là không hề nhỏ, những con RAT này một khi đã được cài vào thiết bị cá nhân sẽ dẫn đến các hậu quả khôn lường không chỉ đối với cá nhân người dùng mà nó còn có thể trở thành một hướng xâm nhập mới đối với toàn bộ hệ thống mạng mà thiết bị đó kết nối tới.
Cảm ơn anh em đã quan tâm ^_^
