Hooded hacker. Cyber attack concept.

Ngày hôm nay tôi lướt trên mạng thấy một cảnh báo từ vtv nói rằng 113113vn.com là trang web lừa đảo giả mạo công an. thấy vậy rảnh rỗi ngứa tay lên đâm thử xem cái apk bị cảnh báo kia là gì.

Đầu tiên tôi quyết định decompiler apk này xem có gì không mã nguồn các bạn có thể xem ở đây. https://git.manhtuong.net/mtdev/113113vn

Sau khi đọc code tôi thấy cái này khá đơn giản code không có gì đặc biệt cả. và tôi chú ý tới file BackgroundService.java

Ở đây có một số thông tin về server IP server là: 45.77.63.156 dạng apk này là dạng webview và chạy nền.

Bên cạnh đó tôi nhận thấy chúng có thể đọc được tin nhắn tới của bạn thông qua SmsListener file tại đây

Như vậy với quá trình static đơn giản thì tôi nhận thấy đây thực chất là một webview đơn giản với chức năng chính của nó là đọc tin nhắn tới của nạn nhân, việc này rất nguy hiểm chúng có thể lợi dụng để đọc các tin nhắn OTP của ngân hàng và hack mất tiền trong tài khoản của bạn mà bạn không hề hay biết.

tôi thử scan trên các trang thì đúng như những gì tôi đã nghĩ

Bây giờ tôi đưa lên NOX để xem nó có những gì chạy ra sao. và tôi thấy đúng như những gì tôi dự đoán nó chỉ là webview đơn giản về trang 113113vn.com cũng chả có gì hơn trên đó. và khi dùng nó thì tôi phát hiện nó gửi liên tục các thông tin của máy tôi lên phía server khá đều đặn 1s 1 lần.

Và tôi thấy nó đòi khá nhiều quyền. từ localtion của bạn tới sms rồi cả lịch sử cuộc gọi của bạn… nói chung ngần như nó đòi full quyền trên thiết bị của bạn.

Một câu hỏi của tôi lúc này là đã có ai dính chưởng thằng này chưa? bằng một số công cụ tôi quyết định tấn công ngược lại nó để xem nó đã có những gì và đây là kết quả của tôi thu nhận được.

Như vậy trên thực tế đã có người dính chưởng. Thế nhưng khi đọc sâu thì tôi không tìm thấy tin nhắn hay cuộc gọi nào. công cụ này chắc mới chưa có gì hay sao ta? cái này để sau này theo dõi thêm sẽ có câu trả lời.

Tuy nhiên tôi nhận ra đây là trang web có tiếng trung và cũng không loại trừ là hàng do các anh trung quốc dựng lên cũng với đó là thông tin Join_date_time khá cũ từ năm 2018

thông tin IOC:

Hash: 0a04fedd7b17b7139484598a08328d3abf7c5375d8cdd13ac93c50a17e1c0a93

IP: 45.77.63.156

hybrid: https://www.hybrid-analysis.com/sample/0a04fedd7b17b7139484598a08328d3abf7c5375d8cdd13ac93c50a17e1c0a93/5db11eec0388387e8d441206

Sever của 113113 đã cập nhập và đổi thành 84113113vn.com để tránh bị thoeo dõi sau khi bị bóc. và mình thấy nó đã tiến hành cập nhập luôn phần mềm này này nó có đọc thêm cả lịch sử cuộc gọi của nạn nhân.

Bộ code của nó được mình update ở đây. mình sẽ theo cùng xem tụi này làm được gì nữa

https://git.manhtuong.net/mtdev/113113vn-update

Leave a Reply

avatar
  Subscribe  
Notify of