Splash1

Анализ

В основе работы подобных сэмплов стоит firebaseremoteconfig.googleapis.com. Алгоритм довольно прост: получение информации через firebaseremoteconfig, есои там есть ссылка переход по ней.

В качестве примера будет рассмотрено приложение под именем com.enter.towin.coin.

Анализ трафика дает нам цепочку переходов для дальнейшего поиска ключевых слов по коду.

На скриншоте виден переход на firebaseremoteconfig от куда берется следующая ссылка https://zirgen.org/x1n5GCYS. Сама ссылка является клоакинговой и перенаправляет на другие сайты при соблюдении нужного IP.

Цепочка переходов выглядит так:

1. https://zirgen.org/x1n5GCYS?subid1=organic
2. https://zirgen.org/x1n5GCYS/?subid1=organic
3. https://www.dssm.us/XL1XNH?subid1=organic
4. https://lemons.g2afse.com/click?pid=2629&offer_id=54&l=1579189348
5. https://prtnrs20.com/m61t7vjr/?subId1=2629&subId2=602e362597027c0001f1d939
6. https://spinuk.pu020ev.com/?lang=uk&st=m61t7vjr&s1=2629&s2=602e362597027c0001f1d939&s3=&s4=&s5=&pc=30&form_phone={form_phone}&form_email={form_email}&trId=c0n3c9jvjah828d8cfe0&source=https://zirgen.org/x1n5GCYS/?subid1=organic

Имея полученную с firebaseremoteconfig ссылку https://zirgen.org/x1n5GCYS видно что она отличается от той по которой был осуществлен первоначальный переход. Это значит что текст ?subid1=organic должен быть где-то в коде.

На скришоте видны ключи JSON которые используются для получения данных из firebaseremoteconfig а именно country и link а так же присутствует текст который к этой ссылке добавляется ?subid1=organic.

Вывод

На основе полученных в результате анализа данных было создано YARA-правило которое позволяет определять подобные приложения.

YARA-правило: https://pastebin.com/DUhS9n8W

Пароль: 8sxLEGQRbs