BestSplash

Вступление

Данное семейство приложений использует шифровку запросов на первоначальный сайт, обфускацию кода, обфускацию строк и вызовы "пустых" функций.

Шифровка запросов затрудняет анализ трафика и построение цепочки переходов.

Обфускация кода и строк затрудняет анализ приложения.

Вызовы пустых функций, другими словами функций не которые не несут никакой полезной нагрузки, затрудняет создание яра-правила для автоматизации обнаружения подобных приложений.

Анализ

Анализ произведен на примере приложения best.good433bonus.viola.

Анализ трафика показал странный запрос, который явно выбивается из общего контекста, как минимум это не запрос на какую-либо из стандартных метрик, но в нем присутствует зашифрованное тело запроса и ответа.

Запрос для получения дальнейшей ссылки (Полный размер)

После деобфускации строк в коде и дальнейшего анализа кода были обнаружены функции которые зашифровывают и расшифровывают текст.

Код расшифровки тела запроса и ответа (Полный размер)

Код генерации ключа для шифровки\расшифровки (Полный размер)

Вызов функции генерации ключа и функции шифровки тела запроса (Полный размер)

На скриншоте видно что в конструктора класса передается строка "best.good433bonus.viola", которая и будет передана в функцию генерации ключа дешифровки. Собрав эти куски кода во едино удалось расшифровать тело запроса и ответа. Данный код является универсальным для всех приложений типа BestSplash, всё что нужно это заменить строку "best.good433bonus.viola" на имя приложения и тело ответа или запроса.

Вид переписанного кода (Полный размер)

Красным подчеркнута ссылка по которой будет осуществлен последующий переход.

Для исполнения кода был использован сервис онлайн-компиляции кода джавы: https://rextester.com/l/java_online_compiler

Сам код можно найти по ссылке: https://pastebin.com/Z3mSq18J

Пароль: L1MH6yaiYx

Найдя точные доказательства того что последующая ссылка для перехода была взята из первоначальной, можно построить цепочку запросов:

https://viola.good433bonus.best/api/info
https://refpupp2020.com/lfv6hcux/?subId1=3rh0uc73ntkr3&subId2=best.good433bonus.viola&subId3=433
https://linkmepu.com/partnreg/?lang=lang&st=lfv6hcux&s1=3rh0uc73ntkr3&s2=best.good433bonus.viola&s3=433&s4=&s5=&pc=30&popup=registration&trId=c0n4alrvjah828d9151g&source=
https://www.pin-upua.com/?lang=lang&st=lfv6hcux&s1=3rh0uc73ntkr3&s2=best.good433bonus.viola&s3=433&s4=&s5=&source=&pc=30&options={options}&form_key={_form_key}&trId=c0n4alrvjah828d9151g&popup=registration
https://www.pin-upua.com/ru/?lang=lang&st=lfv6hcux&s1=3rh0uc73ntkr3&s2=best.good433bonus.viola&s3=433&s4=&s5=&source=&pc=30&options={options}&form_key={_form_key}&trId=c0n4alrvjah828d9151g&popup=registration

В анализатора тафика все выглядит так:

Скриншот анализатора тафика (Полный размер)

Вывод

Результатом анализа приложений семейства стало YARA-правило, позволяющее определить приложения из этого семейства в автоматическом режиме.

YARA-правило: https://pastebin.com/BJEy0Lba

Пароль: PpXKTGrsnX