February 19, 2021

Kit.store part 2

Вступление

Актор kit.store Правило: SplashGif

С каждым днем все больше приложений используют в своих целях сервис Firebase для получения клоакинговых ссылок. Очень удобно, ведь в таком случае не нужно делать отдельный сайт контролирующий этот процесс, тем более что по таким сайтам с легкостью можно сделать яра-правило точно определяющее такие приложения. Однако в конкретном случае взято готовое распространенное решение что затрудняет автоматизированный анализ.

Список приложений:

  • com.starink.betweenthestars
  • com.coins.goldandbanana
  • com.game.dotinmaze
  • com.sweet.sweetvegas
  • com.games.pickupfood
  • com.best.besttoy
  • com.joyful.jay

Анализ

Анализ трафика с помощью удаленных прокси по типу Charles, MitmProxy или Fiddler не дал никаких результатов. Лишь на реальном устройстве с использованием локального андроид снифера HttpCanary удалось получить цепочку запросов приложения com.coins.goldandbanana, остальные приложения скорее всего уже просто отключены.

Первый запрос идет на сервис Firebase по ссылке firestore.googleapis.com/google.firestore.v1.Firestore/Listen, запрос выглядит следующим образом:

POST /google.firestore.v1.Firestore/Listen h2 Host: firestore.googleapis.com user-agent: grpc-java-okhttp/1.28.0 content-type: application/grpc te: trailers x-goog-api-client: gl-java/ fire/21.7.1 grpc/ google-cloud-resource-prefix: projects/ihor-c8071/databases/(default) x-firebase-client: fire-analytics/17.6.0 fire-installations/16.3.3 fire-fst/21.7.1 fire-rtdb/19.5.0 fire-iid/20.3.0 fire-fcm/20.1.7_1p fire-android/ fire-fn/19.1.0 fire-core/19.3.1 x-firebase-gmpid: 1:244656419620:android:5d83f873e5053611bab9b1 grpc-accept-encoding: gzip

Тело запроса:

�– 'projects/ihor-c8071/databases/(default)kecprojects/ihor-c8071/databases/(default)/documents/GoldAndGifts/c6e8d4df-1e5a-452a-a65c-9969256f7d63"�(

Проблемы с перехватом трафика были скорее всего из-за null-символов в теле запроса которые в среде Windows определяются как завершение строки.

Ответ на такой запрос был следующим:

h2 200 content-disposition: attachment content-type: application/grpc date: Thu, 18 Feb 2021 16:23:48 GMT alt-svc: h3-29=":443"; ma=2592000,h3-T051=":443"; ma=2592000,h3-Q050=":443"; ma=2592000,h3-Q046=":443"; ma=2592000,h3-Q043=":443"; ma=2592000,quic=":443"; ma=2592000; v="46,43"

 Œ † cprojects/ihor-c8071/databases/(default)/documents/GoldAndGifts/c6e8d4df-1e5a-452a-a65c-9969256f7d638

fullModelName'Š$samsung SAMSUNG-SM-G930A 8.0.0 N_MR1N nameFŠChttps://kit.store/nobot/311/c6e8d4df-1e5a-452a-a65c-9969256f7d63/ua& bundleIdŠcom.coins.goldandbanana6 appsflyer_uuid$Š!1613665418356-2311112087786561398 user_idš geoŠua version currentTimeR ‘©º€‚îà† appsflyeryŠv{"install_time":"2021-02-18 16:23:41.854","af_status":"Organic","af_message":"organic install","is_first_launch":true} responseŠok7 advertise_id'Š$32cd3fb1-639f-47fc-b2d9-ca95a731e6da- timeZone!ŠEastern European Standard Time androidIdŠe8b8b21864717d7a ipŠ46.252.220.153 emulator  ’©ºðǼÿ" ’©ºàéÙÕ* !" ·‹þ”ìóî2 ”©ºØ•ö " ·‹þ”ìóî2 ”©ºØ•ö

Ответ пришел в формате grpc, но это не помешало увидеть там ссылку https://kit.store/nobot/311/c6e8d4df-1e5a-452a-a65c-9969256f7d63/ua, она и используется в следующем запросе:

GET /nobot/311/c6e8d4df-1e5a-452a-a65c-9969256f7d63/ua h2 Host: kit.store pragma: no-cache cache-control: no-cache upgrade-insecure-requests: 1 user-agent: Mozilla/5.0 (Linux; Android 8.0.0; SAMSUNG-SM-G930A Build/R16NW; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/66.0.3359.126 Mobile Safari/537.36 accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 accept-encoding: gzip, deflate accept-language: en-US x-requested-with: com.coins.goldandbanana

Ответом на такой запрос будет перенаправление на https://1partners.link/1casino-maxbonus/?refcode=816595b5-2a96-4307-9765-9ac2dd7be705

Таким образом цепочка запросов выглядит так:

  1. https://firestore.googleapis.com/google.firestore.v1.Firestore/Listen
  2. https://kit.store/nobot/311/c6e8d4df-1e5a-452a-a65c-9969256f7d63/ua
  3. https://1partners.link/1casino-maxbonus/?refcode=816595b5-2a96-4307-9765-9ac2dd7be705

Вывод

Результатом анализа приложений от этого актора стало простао, но эффективное Yara-правило:

https://pastebin.com/nmRVRLDr

Пароль: xx7yLFuXvq