Сняли деньги смс перехватом.

Предыдущие сообщения
13 июля 2016
#1 arhibald99 uid#1617 Уважаемые обьясните как могло произойти снятие денег с карты сбера посредством смс перехвата?
Моя мадемуазель (iq невысокого) получила смс о том что ей оператор задолжал 1200р и чтоб их получить нужно перейти по ссылке. Там (как она говорит) на сайте ничего небыло и телефон стал тупить.
Чтоб позвонить кому то надо было жать на вызов по 2-3 раза. И смс от нее приходили но от меня ей нет. Тут случается задержка зарплаты. Я ей говорю чтоб заказала детализацию операций по карте... и далее выслушиваю зареванную историю что сняли деньги с карты в 2 подхода. (Притом суки даже не побрезгали в третий подход последние 500р снять)
Собственно вопрос: Как можно было так легко это сделать?, судя по тому что номер карты не сообщался получается что все перевели через мобильный банк? Тогда что за ПО могло быть установленно на телефон? Сбербанк онлайн отсутствовал. И как от такой херни обезопаситься?
14:34:01 0
#2 Qemu uid#2451 мадам во время снятия была в одном и том же месте? 15:55:38 0
#3 arhibald99 uid#1617 Дома была. 18:37:52 0
#4 Qemu uid#2451 Поздравляю, передавай привет соседям в радиусе до 50 м точно. Если она не трогала сбер в этот день - точно какой то сосед себе дома бс соорудил. К примеру из мотороллы или самсы. 20:06:06 0
#5 sermax uid#6072 Что то не складывается, если это gsm снифинг , то с какого бока ссылка в смске ? по чему то наводит на мысль о том что на том сайте всё же что то было..А с какого номера смска пришла не сохранилось? 21:07:59 1
#6 sermax uid#6072 вот на это уже больше похоже.. 23:52:13 0
#7 arhibald99 uid#1617 Вот теле2
09:52:47 0
#8 arhibald99 uid#1617 А смс нет, она с перепугу удалила все что можно... Телефон кстати рутированый (свой отдавал) по этому там все что угодно может быть. 10:05:07 0
#9 Qemu uid#2451 Телеметрию смогёшь собрать? 11:35:45 1
#10 sermax uid#6072 Нормальную они ссылку кинули, домен третьего уровня , да ещё и на бесплатном хостинге )) но хотя бы понятно теперь "откуда ноги растут"..Только сделать наверное уже не получится ни чего , сайт по ходу заблокировали уже и концов не найти . Ты кстати не один попал, на вирустотале пишут что : "самый первый анализ был проведён 2016-07-07 09:54:39 UTC. " значит ещё кого то ломанули , а потом видимо владелец хостинга их и заблокировал , а может сами доступ закрыли. Хотя если оттуда в телефон что то залили , то должно там ещё быть, так что можно попробовать посмотреть что на нём запущено и куда отстук идёт , я правда хз как это в смарфонах сделать, единственное что на ум приходит , это исходящий трафик соснифать и так глянуть, 18:39:42 0
#11 arhibald99 uid#1617 Я сейчас от мадемуазели и ее телефона в 4000 км:) Командировка. По этому врятли получится какую то инфу собрать. Я помню что какое то приложение меняло данные в файле "host" там то точно должно что то остаться если перенаправление было какое-то... Приложений говорит никаких не скачивала, хотя... Внимания ноль по этому возможно и установила какую то малварь. Трудно что-то понять. 19:21:39 0
#12 MACTEP uid#646 не смс перехватом 23:32:19 1
#13 MACTEP uid#646 по порядку расскажу
1 приходит смс на телефон жертвы с просьбой куда то перейти
2 через сайт считывается данные пользователя как правило сопровождается большим трафиком отдачи чем приема
3 происходит внедрение вредоносного кода
5 правка iptables
6 правка Host
7 остается только изучить данные которые получат сервера по открытому каналу и все
карту могли узнать когда она что то оплачивала или есть привязка к аккаунту к любому
а 3 знаковый код CVS легко подбирается генератором за пару минут
имхо подвержены все люди планеты земля кто не зная броду лезут в воду
23:46:41 1
#14 MACTEP uid#646 5 и 6 пункт самые опасные 23:48:20 0
#15 arhibald99 uid#1617 Спасибо, МАСТЕР. Я так понимаю если ты не откроешь ссылку с смс сообщения то ничего не будет...
З.ы. Напасть блеать какая-то. У сестры сегодня заблокировали "Моб. Банк" говорят дохрена запросов приходило о балансе...
10:09:54 0
#16 arhibald99 uid#1617 У них обеих "Али экспрес" приложение стоит, почему то думаю это оттуда ноги растут. Вечно что то там покупают. 10:13:51 0
#17 sermax uid#6072
И смс от нее приходили но от меня ей нет
3 происходит внедрение вредоносного кода
МАСТЕР то есть , получается что перехвата смс нет, а просто блокировка всех входящих ,так что ли? И тогда получается что если стоит подтверждение по смс того же гугла или сбера ,то по сути это ни чем печальным и не закончится , ну кроме потери данных котрые по HTTP идут , так что ли?
22:22:50 0
19 июля 2016
#18 arhibald99 uid#1617 http://rgho.st/6d2W7bLFy Вот малварь с телефона, оказывается она установила на телефон эту дрянь. Чем ее разобрать можно? Декомпилятор какой-то есть? 13:07:39 0
#19 arhibald99 uid#1617 Если кто может разобрать, скиньте все составляющие пожалуйста. А то нашел декомпилятор но там архив дополнительный на всех ресурсах уже просрочен. 13:30:27 0
#20 arhibald99 uid#1617 http://rgho.st/8XRc4vFH2 13:40:52 0
23 июля 2016
#21 Qemu uid#2451 Access to the file is restricted 13:12:44 0
#22 Qemu uid#2451 [email protected] - zip-ни файло с пасом любым, иначе фильтр не пустит apk-шку 13:13:37 1
#23 4ani uid#8499
http://rgho.st/8XRc4vFH2
- доступ к файлу запрещен....

Smart APK Tool в помощь:

ТыК

P.S.: нужна ява для работоспособности.
Разбирается норм, в два клика в винде. Если хочешь скинь еще разок apk.
И сори за фалообменник, но жить на что-то надо)
13:15:07 0
24 июля 2016
#24 arhibald99 uid#1617 Сорь сперва не понял что за фигня апк
А вот с с этой прогой я и не мог найти какой то архив дополнительный... Но спасибо попробую еще поискать.
14:12:01 0
#25 arhibald99 uid#1617 пароль hackersoft как обычно 14:12:52 0
#26 arhibald99 uid#1617
Smart APK Tool в помощь:

ТыК

P.S.: нужна ява для работоспособности.
Разбирается норм, в два клика в винде. Если хочешь скинь еще разок apk.
И сори за фалообменник, но жить на что-то надо)
Чувак..... Как ты обьяснишь, это https://www.virustotal.com/ru/file/4bca1427a2a9bb7... и это http://r.virscan.org/report/1dfb98138064febe1f7427... ? А еще файл в 600кб и иконку папки?
14:35:45 0
#27 MACTEP uid#646 извините здесь не часто бываю, во первых
Я так понимаю если ты не откроешь ссылку с смс сообщения то ничего не будет...
в ходе экспериментов со своим телефоном заметил странные особенности
1 с смс, если не переходить по ссылке ничего не возможно подцепить (проверка отсыланием рабочего кода на телефон ничего не дало)
2 В ссылка должна быть двойная переадресация только в этом варианте телефон начинает качать все что ему прикажут вплоть до установки приложения
МАСТЕР то есть , получается что перехвата смс нет, а просто блокировка всех входящих ,так что ли? И тогда получается что если стоит подтверждение по смс того же гугла или сбера ,то по сути это ни чем печальным и не закончится , ну кроме потери данных котрые по HTTP идут , так что ли?
извините это не так, сбербанк хоть и хвалится защитой (двухфакторная и антивирус встроенное в приложение) есть способ чтоб обойти это, злоумышленнику надо знать только номер карты и CVS


А теперь по сути, без приложения невозможно перехватить или изменить поток данных следовательно малварь должна сидеть на телефоне если там не прописано самоуничтожение по коду Всегда всем говорю - "ребята если вы не научитесь читать какие правила даете тому или иному приложению вы тем самым помогаете злоумышленику"
Если кто может разобрать, скиньте все составляющие пожалуйста. А то нашел декомпилятор но там архив дополнительный на всех ресурсах уже просрочен.
пришлите на почту то что вы нашли только предварительно запакуйте архиватором с паролем
23:17:32 1
#28 Qemu uid#2451

МАСТЕР

Только недавно (9.3.2) закрыли дырку на iOS, на дроидах не везде. Тут как с почтой и мягкотелым почтовым клиентом - получил письмо и оно сразу активнулось.

arhibald99

Тулзу верную подсказал, но вообще (на будущее) apk = zip. Внутри файло со структурой, в любой версии SDK Java есть декомпиль. Сча скачал, на неделе посмотрю твой сюрпризик. Если кому надо - могу поделится виртуалкой дроида 4.4 под VMware/Parallels. (не порт под писюк, а полноценное говнецо).
00:45:41 0
#29 4ani uid#8499
Чувак..... Как ты обьяснишь, это https://www.virustotal.com/ru/file/4bca1427a2a9bb7... и это http://r.virscan.org/report/1dfb98138064febe1f7427... ? А еще файл в 600кб и иконку папки?
Сорян, видимо файлообменник прикалывается рекламой теперь, давно на него ничего не кидал....
Вот перезалил сюда:

Ссыль

пасс:hackersoft
22:00:09 0
Следующие сообщения
*Ник: Проверка уникальности... Если вы уже зарегистрированы, авторизуйтесь.
*Сообщение:
  Загрузка...