обнаружены подозрительная сетевая активность

0

1

Недавно написал программу, которая показывает соединения программы и вот что выявлено.

192.168.1.5:56170 88.198.114.198:80 uid: 10042
192.168.1.5:40493 103.235.47.125:80 uid: 10042
192.168.1.5:40495 103.235.47.125:80 uid: 10042
192.168.1.5:48492 93.158.134.207:443 uid: 10042
192.168.1.5:43155 54.71.182.124:80 uid: 10042
192.168.1.5:36215 2.23.152.185:80 uid: 10042
192.168.1.5:33650 212.32.249.98:80 uid: 10042
192.168.1.5:44809 52.45.101.171:80 uid: 10042
192.168.1.5:44657 35.158.151.148:80 uid: 10042
192.168.1.5:44656 35.158.151.148:80 uid: 10042
192.168.1.5:44449 212.224.118.213:80 uid: 10042
192.168.1.5:40496 103.235.47.125:80 uid: 10042
192.168.1.5:47806 52.17.70.104:80 uid: 10042
192.168.1.5:44807 52.45.101.171:80 uid: 10042
192.168.1.5:44658 35.158.151.148:80 uid: 10042
192.168.1.5:56169 88.198.114.198:80 uid: 10042
192.168.1.5:49162 2.23.158.86:80 uid: 10042
192.168.1.5:41094 52.40.87.97:80 uid: 10042
192.168.1.5:40494 103.235.47.125:80 uid: 10042
192.168.1.5:47805 52.17.70.104:80 uid: 10042
192.168.1.5:44808 52.45.101.171:80 uid: 10042
192.168.1.5:54626 35.190.77.108:80 uid: 10042
192.168.1.5:48495 93.158.134.207:443 uid: 10042
com.adups.fota

На сайте xakep.ru

По данным Kryptowire вся вредоносная функциональность сконцентрирована внутри двух системных приложений, отключить или удалить которые пользователь попросту не может: com.adups.fota.sysoper и com.adups.fota.

Вот что еще написано

В FOTA, по сути, встроен бэкдор, который постоянно держит связь с серверами китайской компании.

Вот функционал

каждые 72 часа отправлять все SMS-сообщения с устройства на сервер Adups;
каждые 72 часа отправлять содержимое журнала звонков на сервер Adups;
собирать личные данные, позволяющие установить личность пользователя, и каждые 24 часа отправлять их на сервер Adups;
собирать информацию о IMSI и IMEI, геолокационные данные и список установленных приложений;
удалять или обновлять приложения;
скачивать и устанавливать новые приложения без ведома пользователя;
обновлять прошивку устройства;
удаленно выполнять произвольные команды и повышать свои привилегии на устройстве.

Ссылка

←

RetDec

Что будет если обрезать блокчейн?

→

Также еще до появления этой fota, также присутствует

192.168.1.5:46864 74.125.131.101:443 uid: 10066
com.google.android.apps.maps

~~u0atgKIRznY5~~ ☆
(17.12.17 08:30:44 MSK) автор топика

Так а клавиатура, у которой база в открытый доступ попала, тоже собирала всё это. И что?
UPD:

удалять или обновлять приложения;
скачивать и устанавливать новые приложения без ведома пользователя;
обновлять прошивку устройства;
удаленно выполнять произвольные команды и повышать свои привилегии на устройстве.

А это уже круто.

xwicked ★★☆
(17.12.17 08:35:45 MSK)
Последнее исправление: xwicked 17.12.17 08:37:01 MSK (всего исправлений: 1)

Ссылка

Это на каком вендоре / прошивке такое добро?

Jefail ★★★★
(17.12.17 08:59:37 MSK)

Ответ на: комментарий от Jefail 17.12.17 08:59:37 MSK

Это на каком вендоре / прошивке такое добро?

Незнаю, как то в трафике сетевом видел vendor написано было, но я не помню что там. А так это vertex impress fun. Прошивка из магазина. Чтобы увидеть какая программа соединяется по сети, сделал root на устройстве.

~~u0atgKIRznY5~~ ☆
(17.12.17 09:49:34 MSK) автор топика

Ссылка

Ответ на: комментарий от Jefail 17.12.17 08:59:37 MSK

Но дело в том, что когда пытаюсь обновить прошивку по воздуху, запрашивает dns fota. Так что не понятно есть или нет, но судя по описанию на сайте хакер, то это используется не только для обновления по воздуху. Потому как продолжительное время не с того ни с сего установилась связь и поддерживалась.

~~u0atgKIRznY5~~ ☆
(17.12.17 09:51:58 MSK) автор топика

Ссылка

Писец, блджад. Расчехляю свою древнюю нокию.

IPR ★★★★★
(17.12.17 10:04:11 MSK)

Ответ на: комментарий от IPR 17.12.17 10:04:11 MSK

Расчехляю свою древнюю нокию.

Хе-хе. Юзаю древний сименц, и нокла лежит в пакетике.

Deleted
(17.12.17 10:32:58 MSK)

Ответ на: комментарий от Deleted 17.12.17 10:32:58 MSK

Я был близок к этому, завёл себе пару нокий, а андроед оставлю только для вацапика и интернетов.

IPR ★★★★★
(17.12.17 10:45:11 MSK)

Ответ на: комментарий от IPR 17.12.17 10:45:11 MSK

Да, ведроед у мну тока для ИМ и интернетов. Ни одного контакта там нет.

Дело как бы личное, каждый сам решает.

Deleted
(17.12.17 10:52:27 MSK)

Ссылка

Ответ на: комментарий от Jefail 17.12.17 08:59:37 MSK

Да практически в любом китайце. В thl точно есть, там апдейты через fota вытягиваются.

imul ★★★★★
(17.12.17 11:42:34 MSK)

Ссылка

Так как ты сделал root, то легко можешь вытащить эти системные положения, а затем легко их декомпилировать и посмотреть, что там внутре. Я так сто раз делал, только не из-за паранои, а по другим причинам.

~~ult~~ ★
(17.12.17 12:30:54 MSK)

Ответ на: комментарий от ult 17.12.17 12:30:54 MSK

а по другим причинам.

Наверное ты смотрел cracklab курсы по взлому android игр.

~~u0atgKIRznY5~~ ☆
(17.12.17 12:35:54 MSK) автор топика

О классно, теперь же еще доступна возможность настраивать iptables.

~~u0atgKIRznY5~~ ☆
(17.12.17 12:37:47 MSK) автор топика

Ответ на: комментарий от u0atgKIRznY5 17.12.17 12:35:54 MSK

Нет. На мтк6577 нет камеры с raw-режимом. А в стандартном инженерном приложении есть тест камеры с записью raw-фото. Только никто этот получившийся raw не мог расшифровать. Я смог и хотел сделать обычное приложение-камеру с этим режимом. Поэтому ковырялся в декомпиляторе. В итоге все встало пока за недостатком времени.

~~ult~~ ★
(17.12.17 12:41:05 MSK)