Комментарии 20
Для любителей YARA — правило для выявления таких образцов
Yara
rule malware_android_Mamont_Obnal {
meta:
description = "[ MALW ] Detected Android Mamont by strings"
author = "Gantimurov/Angara MTDR"
date = "2026-02-02"
tlp = "WHITE"
hash = "66d7064c66f59c5678fa27c677abb887"
strings:
$s1 = "checkNativeRoot" ascii wide
$s2 = "checkNativeEmulator" ascii wide
$s3 = "checkNativeFrida" ascii wide
$s4 = "/system/sd/xbin/su" ascii wide
$c1 = "getSrvConfigA" ascii wide
$c2 = "getSrvConfigB" ascii wide
$c3 = "getSrvEndpoint" ascii wide
$f1 = "assets/metadata_dog.dat" ascii wide
$f2 = "lib/arm64-v8a/libmetamask_loader.so5" ascii wide
condition:
uint32be(0) == 0x504B0304 and // Android APK
any of ($f*) or (3 of ($s*) and any of ($c*))
}
Angara security, рекомендуя для Госуслуг использовать отдельный телефон для получения одноразовых смс, Вы упускаете ключевой момент, что в целом коды по смс не есть безопасны. Есть TOTP, госуслуги в него умеют.
TOTP — отличная рекомендация для Госуслуг, спасибо. Только не все банки поддерживают TOTP
Вообще использовать отдельный телефон для всего критически важного — банки, госуслуги, один из возможных способов защиты. Со своими плюсами и недостатками.
Такой способ рекомендовал Кевин Митник в своей книге «Искусство быть невидимым».
У меня настоящая "двухфакторная авторизация" получилась естественным образом без всяких Митников. Основная симка МТС жива с начала нулевых - ещё та, красная, полноразмерная, только 2G. Так и повелось, что она стоит в старом кнопочном телефоне, на неё изначально были завязаны все чувствительные сервисы. А смартфоные номера светятся для всяких маркетплейсов и прочих регистраций. Со временем осознал всю прелесть разнесения симок в "разные корзины".
TOTP — отличная рекомендация для Госуслуг, спасибо. Только не все банки поддерживают TOTP
Так надо чтобы регулятор выдал волшебный пендель.
Вообще использовать отдельный телефон для всего критически важного — банки, госуслуги, один из возможных способов защиты
Для этого не нужен телефон, нужен аппаратный 2FA ключ с USB+NFC:
он дешевле телефона
он меньше телефона, легко вешается на ключи
их можно иметь несколько, резервный хранить в сейфе
его невозможно передать мошенникам по телефону, в отличие от кода, который пришёл на ваш второй телефон или даже был сгенерирован TOTP
этим ключом нельзя сбросить пароль, как кодом из смс, т.е. это реальный второй фактор, а не профанация
Всё уже давно придумано и широко используется тем же гуглом, пейпалом, гитхабом и еще огромным количеством компаний. Просто и банкам и регулятору наплевать на безопасность клиентов.
Так надо чтобы регулятор выдал волшебный пендель.
И мы будем авторизовываться через мессенджер MAX)
А если серьезно, то токен — очень хороший вариант, но не везде применимый.
И мы будем авторизовываться через мессенджер MAX)
Те же овалы, вид сбоку. Принципиальная уязвимость любого кода в том, что его можно сообщать по телефону мошеннику.
А если серьезно, то токен — очень хороший вариант, но не везде применимый.
Согласен, серебряной пули не существует. Но он должен быть доступен опционально по желанию клиента. Можно, например, предложить zero liability тем клиентам банков, которые позаботились о безопасности и решили использовать токен.
Посоветуете модель аппаратного 2FA ключа с USB+NFC, который стоит не дорого и можно без проблем купить?
Только не все банки поддерживают TOTP
"Не все" это буквально раз, два и... всё. Год назад в топ-10 ни одного банка не было с поддержкой TOTP. Уверен что и сейчас нет. А вот дизайн они каждый год готовы менять с удовольствием.
Так становится еще хуже. Если раньше для входа через веб требовался логин+пароль+код из смс, то теперь очень часто только логин+код. А логин совпадает с номером телефона) И всё.
Ну так по запросам трудящихся. Они не могут запоминать эти логины и пароли или постоянно их забывают. Предел для большинства запомнить четырёхзначный пин код.
Плюс это же надо вводить многа букав и цифр. Сложно и долго. У родителей к примеру оба смартфона со сканером отпечатка пальцев, но я не смог их заставить перейти на него на постоянку. Это же надо периодически пароль вводить, чтобы не забыть его(и всё равно регулярно забывать, а бумажку терять). В результате телефон никак не защищён при краже. А т.к. пароля нет, NFC не настроить. Что в некотором роде даже хорошо, т.к. не настроить оплату по нему.
Мне вот что интересно: Google выпустил обновления для PackageManager (вероятно, еще в 2023 году), чтобы проверять этот флаг и отказываться устанавливать APK с "зашифрованными" файлами без пароля. Инструменты анализа тоже были обновлены: Apktool (начиная с каких-то версий) игнорирует этот флаг. Google Play Protect и другие сканеры теперь учитывают эту уловку.
Как этот APK мог отработать в 2026-м году? Можете уточнить, general purpose bit flag меняют в local file header или central directory?
Вообще "защита" тут конечно громко сказано. Наоборот, любой сканер должен обратить внимание на такую странность. Но имеем, что имеем, и я обратил на это внимание.
На Android 14 спокойно установился. Но дальше не прошёл проверку самим вредоносом - ему не понравился набор ПО.
Интересно с какой версии Android добавили такую проверку. Есть ссылка на такую новость?
Всё равно надо учесть, что по статистике последние версии Android (15 и 16) не более чем 40% пользователей.
Похоже, ошибся. Смотрел в исходники - фиксов нет. Но за наводку сенкс - у себя внедрил нужную проверку. Благодаря ей нашел еще два таких же файла:
51863351193ab67148e3e47255cad4927eb13939292c7854121ebedb4de28590
4784df9fbcf7d29ee06b5330a609d6306949773d
2a5f808f305334a0cfec1daa7290ace649079ab9c6dbed43f77ffdccb55c6e31
f702f56ebcb68301508084a6045925b34c49c274
Можете уточнить, general purpose bit flag меняют в local file header или central directory?
В record каждого файла и в dirEntry.
Я телефон уже шесть лет не менял, так и хожу с ксяоми 20 года. И андроид у меня очень давно не обновлялся. Предположу, что достаточно много людей ходят с телефонами старше пары лет, где этого нет.
Продам всё, что на фото. Недорого — часть 2