smartanimo.com
Вступление
Все приведённые приложения имеют одну характерную особенность - наличие запроса на сайт smartanimo.com или другие ссылки перенаправляющие на него в конечном итоге.
smartanimo.com является самым ярким примером клоакинговой ссылки. припопытке перейти на этот сайт будет выведено сообщени о ошибке а именно код 404 что означает что сайт не несет никакой другой полезной нагрузки. Для отображения функционала сайта нужны особенные ссылки, именно те которые встроены в приложения. Пример такой ссылки: https://smartanimo.com/LXgGWT на момент 18.12.20 она остается рабочей. При попытке перейти по ней будет произведён переход на пустую страницу, в случае если ИП пользователя не принадлежит СНГ региону или на страницу казино если ИП принадлежит СНГ региону.
Существуют приложения которые не меют в своем коде упоминаний ссылки на smartanimo.com , но при этом все равно его используют с помощью других клоакинговых ссылок, таким образом создавая дополнительное "двойное дно" при проверке приложения. Из-за использования данных приёмов анализ кода не является ефективным способом поиска приложений данного семейства. Для этого лучше всего подходит анализ трафика с использованием ВПН.
Список приложений:
- https://play.google.com/store/apps/details?id=com.webmasthp.gambinostyle
- https://play.google.com/store/apps/details?id=com.neonroadapp.eter
- https://play.google.com/store/apps/details?id=com.celshads.fois
- https://play.google.com/store/apps/details?id=com.heathenssquad.fera
- https://play.google.com/store/apps/details?id=com.dgwithout.napp
- https://play.google.com/store/apps/details?id=com.newtips.fromdg
- https://play.google.com/store/apps/details?id=com.manearomi.essa
- https://play.google.com/store/apps/details?id=com.catharsisplace.vips
Update:
- https://play.google.com/store/apps/details?id=com.nerfebw.monkeymania
- https://play.google.com/store/apps/details?id=com.bluewater.diamondsforever
- https://play.google.com/store/apps/details?id=com.catchphrases.ghol
Анализ казино
На скриншоте видно что при регитрации предлагают бонус к депозиту в размере 150%.
http://i.prntscr.com/H-y7ZqfGSmqQ-alIyv20nA.png
http://i.prntscr.com/lzOFynwhTNi1O1Ee0B5W9A.png
http://i.prntscr.com/4yBaerJeSkCeH6UpmF_1fg.png
Выше скриншоты того же окна только с прокруткой ниже.
Конкретное окно предлагает ввести желаемую сумму для пополнения и выбрать бонус.
Окно просит ввести номер карты и ее данные для пополнения внутриигрового баланса, что является нарушением правил пользования GooglePlay.
Вывод
Приложения имеющие подобную ссылку в своем функционале умело скрывают свой функционал, но не стоит вестись на это. Само по себе наличие этой ссылки говорит о том что приложение имеет скрытый функционал и он будет показан лишь тогда когда это будет нужно этому сайту.
Проанализировав приложения из списка были выявлены приложения с похожей структурой кода:
- com.catharsisplaceee.lib.eter
- com.celshads.fois
- com.neonroadapp.eter
- com.manearomi.essa
- com.catharsisplace.vips
Из-за наличия ключевого классов с ключевыми словами lib к примеру com.catharsisplaceee.lib, com.manearomi.lib, com.heathenssquaddd.lib и т.п. было названо подгруппу smartanimo.lib
Так же было найдено еще два других приложения с похожим кодом:
- com.newtips.fromdg
- com.dgwithout.napp
Из-за наличия в коде модуля с именем picasso, было решено назвать подгруппу smartanimo picasso
Указанная группа приложений очень разная и охватывает множество разработчиков на разных фреймворках.
com.bluewater.diamondsforever была разработана с использованием юнити.
com.webmasthp.gambinostyle использует пакер jiagu что не позволяет автоматизировать процесс анализа декс-файла. Однако и для таких приложений было создано временное yara-правило, пока сложно судить о его надежности, для проверки нужно больше подходящих экземпляров.
Yara-правило:
https://pastebin.com/qQvyX8dd
Пароль: NF5v5vRrsX