Обзор софта FreeWar(Android Malware)

maza-in

HDD-drive
Пользователь
Регистрация
25.09.2018
Сообщения
23
Оценка реакций
20
Баллы
10
Пожалуйста, обратите внимание, что пользователь заблокирован
Всем привет, недавно обратился ко мне FreeWar для написания рецензии, а если точнее за ддосил :) просто реально не хватает времени, ну да ладно, приступим..

Получил его софт, админка в тор, apk, билдер склейки приложений. Ну начнем все по порядку. Автор просил не прилагать полные скриншоты админки в целях приватности продукта. Поэтому скриншоты сделаны частично некоторых важных частей интерфейса и кода.

Начнем с админки. Автор размещает только все на своих серверах в целях безопасности, а так же только в onion зоне. Внешне выглядит почти как и весь софт. Имеется билдер. Но сам билдер находится на других серверах, что делает сборку апк затяжной и занимает до 30 минут. Со слов автора.

В билдере можно указать
1. имя приложения
2. иконку
3. стартовый лендинг (в виде html) который показывается пользователю при старте APK.

screen builder.png

И так пробуем. После заполнения билда я получил файл примерное через 15 минут. Файлы загружаются в админку где их можно скачать. Примерно как у EXO бота. На выходе получаем файл примерно 800кб. Довольно таки тяжелый файл.

Вот его скан. На момент тестирования было 2/57. Автор разрешил проверять софт на virustotal. Безумец :)

screen check av.png

Уточнил у автора почему такой большой размер, оказалось из-за лендинга при старте, используется разводка с gif анимацией. И действительно стартовый лендинг можно заменить на свой. И размер уменьшится. Путем эксперимента я получил размер примерно в 100кб. Что уже неплохо.

И так первый запуск, приложение запросило права на специальные возможности, через довольно красивый лендинг проверки антивируса с анимацией. Отстук пришлось ждать аж 2-3 минуты первый. Что крайне странно. Пообщавшись с автором, он сказал что это из-за модульности. Ниже я приведу проверки по коду всех слов.

Набор команд стандартный sms, contacts, applications, keylogger, socks5, injects, CC, loader, browser history, file manager. Все работает как заявлено.

Удобно что софт раз в 30 минут обновляет все данные по телефону самостоятельно и не надо давать ни какие команды. Так же есть раздел с автокомандами, но настройка на данный момент крайне сложна. И без мануала я не разобрался. В общем автор над GUI тебе стоит еще много порабоать. Так же команды, выполняются с небольшой задержкой и иногда не удобно ждать, когда нужно что-то быстро провести. В админке есть ссылка для траферов, но она одна и это не удобно.

По интерфейсу удобно сделана система фильтров а так же статистика. Ведется даже учет как пользователь использует телефон и какие приложения открывает. Можно фильтровать по этим приложениям.

Автора обвинили в работе по ру. Но это вполне стандартная админка для ботов. Где нет ни балансов банков, ни смс заливов. В общем по крайней мере в веб версии этого замечено не было.

И так перейдем к анализу самого файла.

Декомпилировав файл, могу сказать что данные довольно хорошо шифруются и модифицируются.

Первое, файл обрабатывается Proguard. Что усложняет крайне читабельность кода.
В файле все строки зашифрованы алгоритмом base64 + какой-то еще. Что крайне усложняет анализ даже по коду. Нет ни одной отладочной функции.
Имена классов и функций тоже проходят частичную обработку.

screen encrypt text.png

Из скриншотов видно что код очень трудно читаем. Так же пробежав по всем файлам, я не нашел ни какого функционала, кроме как запроса прав и минимальный код для работы, что подтверждает что бот модульный. Нашел

screen dex.png

Нашел часть функционала, где скорее всего идет проверка на эмулятор и другие флаги. Но с учетом того что в файле нет ни каких строк, очень сложно провести проверку на что именно проверяет функция.

После запуска на эмуляторе. Апк вообще ни какой активности не проводит, просто закрывает основную активити и все. Так же меня просили уточнить как я писал выше на работу по СНГ. На реальном телефоне с русским языком, приложение тоже не запустилось. Видимо работает та же проверка.

screen sandbox.png

Так же заметил, что через некоторое после установки время, приложение постоянно загружает какие-то dex файлы на телефон, но они тоже шифрованные. И схожи по структуре с основным. Но я так понял это и есть модули.

Что мне понравилось, в комплекте к софту идет билдер с помощью которого можно склеивать лоадеры с почти любыми мелыми приложениями без исходников, имея только апк и загружать их в Google Play. Загрузку проверить я не успел. Но способ рабочий, попробовал склеить с антивирусом. И оно реально работает. И что интересно, софт отстукивает в ту же админку что и сам бот. Где можно потом отфильтровать их.

Оценочное мнение.
1. Софту нужны доработка как и в админке так и по производительности
2. Софт работает хоть и медленно, но довольно стабильно
3. Софт не работает по СНГ
4. Имеется очень хорошая защита от реверса
5. Админку исходники мне не предоставили, поэтому функционал я проверял только внешне. Но не хватает ajax. Хотя в некоторых местах он уже есть и я думаю автор доделает.
6. Дружелюбный автор, всегда все разъяснит
7. Интересные плюшки, в виде автоматизаций.

FreeWar успехов в бизе.
 

FreeWar

ripper
КИДАЛА
Регистрация
12.11.2018
Сообщения
247
Оценка реакций
116
Баллы
41
Пожалуйста, обратите внимание, что пользователь заблокирован
Спасибо за обзор! Будем развиваться. :cool:
 

tabac

(L2) cache
PR-group
Регистрация
30.09.2018
Сообщения
378
Оценка реакций
507
Баллы
100
от полного реверса все равно не спасет, но FreeWar потрудился все равно хорошо, базовый рубеж имеется )
 

kisabot

CD-диск
Пользователь
Регистрация
26.02.2019
Сообщения
11
Оценка реакций
0
Баллы
4
Модер рекламит , фри вар в бане? вот из ит?
 

admin

#root
Администратор
Регистрация
12.11.2004
Сообщения
288
Оценка реакций
420
Баллы
73
Модер рекламит , фри вар в бане? вот из ит?
Это обзор, а не реклама. Да и делался он, понятное дело, до статуса Freewar. Любой продавец может сделать такой же. С удовольствием поможем =) В ближайшем будущем (есть в планах) организуем целую команду обзорщиков.
 

Bard

RAID-массив
Пользователь
Регистрация
18.12.2018
Сообщения
64
Оценка реакций
74
Баллы
21
В ближайшем будущем (есть в планах) организуем целую команду обзорщиков.
миня примите ! особливо по склейкам школохацкеров !
Ибо пока напилишь скринов - уже качнут и запустят *( зверя в гости)
ну нравитца мне ето дело *( палить школу ) !
зы : не претендую , ибо тут есть Акулы ....
Но хотелось бы принять участие , так сказать внести лепту , оставить след...
*
а так то - правое дело !
Любой софт выложенный на форуме должен пройти проверку и отзыв .
да и НЕ только "выложенный" .
Я бы даже предложил Админу замутить некий раздел - куда сливали бы
найденные и желаемые софтины НА ПРОВЕРКУ .
Ну а те кто в "теме" разбирали бы анатомию выложенного .
Что благоприятно повлияет и на репы выкладывающих ,
да и на проверяющие репы тоже.
Сей момент привлекёт новых адептов , пользователей , юзеров .
Некий гарант найденного в сети .. типо ...

Ибо , ну ВЫ в курсе по склейкам...

А тут ---- Хоба : ни где такого нету а тут есть !
 

benbin77

HDD-drive
Пользователь
Регистрация
20.02.2019
Сообщения
42
Оценка реакций
4
Баллы
8
удалите, иле закройте тему
первое, maza-in пропал
второе, FreeWar в рипаках
 

utkows

HDD-drive
Пользователь
Регистрация
14.02.2019
Сообщения
48
Оценка реакций
16
Баллы
11
миня примите ! особливо по склейкам школохацкеров !
Ибо пока напилишь скринов - уже качнут и запустят *( зверя в гости)
ну нравитца мне ето дело *( палить школу ) !
зы : не претендую , ибо тут есть Акулы ....
Но хотелось бы принять участие , так сказать внести лепту , оставить след...
*
а так то - правое дело !
Любой софт выложенный на форуме должен пройти проверку и отзыв .
да и НЕ только "выложенный" .
Я бы даже предложил Админу замутить некий раздел - куда сливали бы
найденные и желаемые софтины НА ПРОВЕРКУ .
Ну а те кто в "теме" разбирали бы анатомию выложенного .
Что благоприятно повлияет и на репы выкладывающих ,
да и на проверяющие репы тоже.
Сей момент привлекёт новых адептов , пользователей , юзеров .
Некий гарант найденного в сети .. типо ...

Ибо , ну ВЫ в курсе по склейкам...

А тут ---- Хоба : ни где такого нету а тут есть !
Форум закрывать придется) набегут школьники с просьбой «программы для ддос атак» проверить)
 

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
2 952
Оценка реакций
187
Баллы
55
Полностью поддерживаю идею. Разговаривал в свое время с Тохой на этот счет. Он против тотальной проверки. Так что будет скорее всего на энтузиазме и желании продавца.
 
Верх