Категория > Новости > Потрошим «Социальный мониторинг». Что внутри у приложения для изоляции на дому - «Новости»

Потрошим «Социальный мониторинг». Что внутри у приложения для изоляции на дому - «Новости»

28-05-2020, 16:00. Автор: Haig

Приложение «Социальный мониторинг», которое позволяет следить за тем, чтобы заразившиеся коронавирусом оставались дома, уже успело собрать массу негативных отзывов. Оно, мол, и глюкавое, и вообще «цифровой ошейник». Однако именно технической информации о нем (и, в частности, о его последней версии) немного. Чтобы восполнить этот пробел, я предпринял собственное исследование.

Итак, последняя версия приложения — 1.4.1. Разработчик приложения — Департамент информационных технологий города Москвы. Существуют версии для Android и iOS. По данным из Google Play, на текущий момент приложение установлено более чем у 50 тысяч пользователей. Обещано, что если телефон пользователя не поддерживает его, то в теории ему должен быть предоставлен аппарат с уже установленным приложением. На практике, конечно, такое случается далеко не всегда и не сразу.

На сайте мэра Москвы заявлено, что «приложение при авторизации просит подтвердить номер телефона и сделать фотографию лица, а в дальнейшем фиксирует геолокацию и запрашивает фотографию посредством пуш-уведомления». С виду это действительно так, а если проигнорировать запрос на фото или выйти за пределы квартиры, будет автоматически выписан штраф. Если отказаться от установки, то принудительно поместят в обсерватор или больницу. Если удалить приложение после установки и регистрации, то будут присылать штрафы.

Конечно, ставить что-либо на свой телефон по чьему-то требованию мне не хотелось, но раз уж я был к этому принужден весьма незамысловатым способом, то надо хотя бы проверить, действительно ли приложение выполняет только заявленные функции, или там есть что-то еще.

Итак, поехали. Сразу скажу — я не гуру реверса, так что мог чего-то не заметить. Если обнаружишь что-то новое, обязательно поделись находкой в комментариях.

Смотрим трафик

Первым делом я решил проверить трафик с помощью приложения Fiddler, однако тут меня ждало разочарование. «Социальный мониторинг» устанавливает шифрованное соединение (HTTPS) с сервером mos.ru, а что там происходит дальше — так просто не понять, нужно или рутовать телефон, или пересобирать приложение. Но на рутованном аппарате приложение не работает, а пересобирать его я не рискнул, слишком высока цена ошибки — 4000 рублей за каждый пропущенный запрос на фотографию. А вдруг этот запрос придет как раз в тот момент, когда я буду с трафиком разбираться...

С помощью Fiddler и logcat удалось выяснить только то, что приложение раз в пять минут что-то отправляет на mos.ru. Что ж, придется декомпилировать и ковыряться в коде.

Декомпилируем приложение

Для декомпиляции я использовал программу JEB версии 3.17.1 производства PNF Software. На мой взгляд, это одно из лучших приложений для исследования APK, единственный его недостаток — высокая стоимость.

Приложение подписано сертификатом, сгенерированным 17 апреля 2020 года, и почему-то указан город Самара. Интересно, при чем тут Самара?

Потрошим «Социальный мониторинг». Что внутри у приложения для изоляции на дому - «Новости»

Первым делом смотрим, что в манифесте.

Версия программы — 1.4.1, имя пакета — ru.mos.socmon.

Приложение запрашивает следующие разрешения: доступ к координатам, в том числе и фоновый, доступ к камере, к интернету, состоянию сети, состоянию и изменению Wi-Fi, возможность запускать неубиваемые сервисы и добавление в список исключений оптимизации батареи (чтобы ОС не заставляла приложение экономить энергию), а также чтение и запись данных на карте памяти. Ну что же, уже неплохо — намеков на недекларированные функции пока не видно. Контакты, журнал звонков, SMS и прочее вроде не просят. Будем смотреть дальше.

Дальше видим, что приложение весьма обфусцировано. Конечно, это осложняет анализ, но попробуем.

Обычно при анализе всякой обфусцированной вирусни я поступаю так: сначала переименовываю все объявленные переменные в соответствии с их типом, то есть вместо a, b, c, d пишу intIn, intOut, int1, str1 и так далее. Затем заново смотрю на код, уже становится видно, что некоторые переменные можно переименовать в counter, i, k, resString. Ну и третьим проходом после беглого анализа алгоритма переименовываю во всякие там name, password, hashMD5 Рё С‚Р°Рє РґР°Р»РµРµ.

РўРѕ Р¶Рµ СЃР°РјРѕРµ Рё СЃ РєР»Р°СЃСЃР°РјРё. РЎРЅР°С‡Р°Р»Р° РїРµСЂРµРёРјРµРЅРѕРІС‹РІР°СЋ СЃРѕР·РІСѓС‡РЅРѕ С‚РѕРјСѓ, РѕС‚ С‡РµРіРѕ РєР»Р°СЃСЃ РЅР°СЃР»РµРґСѓРµС‚СЃСЏ, РЅР°РїСЂРёРјРµСЂ activity1 или serviceHZ, Р° РґР°Р»СЊС€Рµ СѓР¶Рµ, РёР·СѓС‡РёРІ СЃРѕРґРµСЂР¶РёРјРѕРµ, РґР°СЋ РѕСЃРјС‹СЃР»РµРЅРЅРѕРµ РёРјСЏ. Р”Р°, СЌС‚Рѕ РєСЂРѕРїРѕС‚Р»РёРІС‹Р№ С‚СЂСѓРґ, РЅРѕ СЏ РЅРµ Р·РЅР°СЋ, РєР°Рє РїРѕ-РґСЂСѓРіРѕРјСѓ СЌС„С„РµРєС‚РёРІРЅРѕ Р±РѕСЂРѕС‚СЊСЃСЏ СЃ РѕР±С„СѓСЃРєР°С†РёРµР№. Р’ РґР°РЅРЅРѕРј СЃР»СѓС‡Р°Рµ РѕР±СЉРµРј РєРѕРґР° РЅРµ РїРѕР·РІРѕР»СЏРµС‚ РІС‹РїРѕР»РЅРёС‚СЊ С‚Р°РєРёРµ РїРµСЂРµРёРјРµРЅРѕРІР°РЅРёСЏ Р·Р° СЂР°Р·СѓРјРЅРѕРµ РІСЂРµРјСЏ, РґР° Рё РЅРµС‚ РІ СЌС‚РѕРј РѕСЃРѕР±РѕР№ РЅРµРѕР±С…РѕРґРёРјРѕСЃС‚Рё.

РџСЂРµР¶РґРµ С‡РµРј РїРѕРіСЂСѓР¶Р°С‚СЊСЃСЏ РІ РґРµР±СЂРё РєРѕРґР°, РѕРєРёРЅРµРј РІР·РіР»СЏРґРѕРј РёСЃРїРѕР»СЊР·СѓРµРјС‹Рµ РїСЂРёР»РѕР¶РµРЅРёРµРј РЅР°С‚РёРІРЅС‹Рµ Р±РёР±Р»РёРѕС‚РµРєРё, Р° РёРјРµРЅРЅРѕ:

libconscrypt_jni.so вЂ” РіСѓРіР»РѕРІСЃРєР°СЏ Р±РёР±Р»РёРѕС‚РµРєР° Conscrypt, РїРѕСЃС‚Р°РІС‰РёРє Р±РµР·РѕРїР°СЃРЅРѕСЃС‚Рё Java (JSP), РєРѕС‚РѕСЂС‹Р№ СЂРµР°Р»РёР·СѓРµС‚ СЂР°СЃС€РёСЂРµРЅРёСЏ РєСЂРёРїС‚РѕРіСЂР°С„РёРё Java (JCE) Рё СЂР°СЃС€РёСЂРµРЅРёСЏ Р±РµР·РѕРїР°СЃРЅС‹С… СЃРѕРєРµС‚РѕРІ Java (JSSE). РћРЅ РёСЃРїРѕР»СЊР·СѓРµС‚ BoringSSL РґР»СЏ РїСЂРµРґРѕСЃС‚Р°РІР»РµРЅРёСЏ РєСЂРёРїС‚РѕРіСЂР°С„РёС‡РµСЃРєРёС… РїСЂРёРјРёС‚РёРІРѕРІ Рё Р±РµР·РѕРїР°СЃРЅРѕСЃС‚Рё С‚СЂР°РЅСЃРїРѕСЂС‚РЅРѕРіРѕ СѓСЂРѕРІРЅСЏ (TLS) РґР»СЏ РїСЂРёР»РѕР¶РµРЅРёР№ Java РЅР° Android Рё OpenJDK;

libface_detector_v2_jni.so вЂ” РѕРїРµРЅСЃРѕСЂСЃРЅР°СЏ Р±РёР±Р»РёРѕС‚РµРєР° libfacedetection РґР»СЏ СЂР°СЃРїРѕР·РЅР°РІР°РЅРёСЏ Р»РёС† РЅР° С„РѕС‚Рѕ;

libtool_checker_jni.so вЂ” Р±РёР±Р»РёРѕС‚РµРєР° РёР· СЃРѕСЃС‚Р°РІР° РѕРїРµРЅСЃРѕСЂСЃРЅРѕРіРѕ РїР°РєРµС‚Р° rootbeer, РїСЂРµРґРЅР°Р·РЅР°С‡РµРЅРЅРѕРіРѕ РґР»СЏ РїСЂРѕРІРµСЂРєРё РЅР°Р»РёС‡РёСЏ РїСЂР°РІ root РЅР° СѓСЃС‚СЂРѕР№СЃС‚РІРµ. Р§СѓС‚СЊ РїРѕРґСЂРѕР±РЅРµРµ СЂР°СЃСЃРєР°Р¶Сѓ Рѕ РЅРµР№ РґР°Р»СЊС€Рµ.

Р‘РµРіР»С‹Р№ Р°РЅР°Р»РёР· РїРѕРєР°Р·Р°Р», С‡С‚Рѕ, РїРѕРјРёРјРѕ РѕР±С„СѓСЃС†РёСЂРѕРІР°РЅРЅРѕРіРѕ РєРѕРґР° Рё РїРѕС‡С‚Рё СЃС‚Р°РЅРґР°СЂС‚РЅС‹С… OkHttp 3, Retrofit 2 Рё Crashlytics, РїСЂРёР»РѕР¶РµРЅРёРµ РёСЃРїРѕР»СЊР·СѓРµС‚ РєРѕРјРїРѕРЅРµРЅС‚С‹ com.redmadrobot.inputmask.helper Рё com.scottyab.rootbeer.

РџРµСЂРІС‹Р№ РєРѕРјРїРѕРЅРµРЅС‚ РѕСЃРѕР±РѕРіРѕ РёРЅС‚РµСЂРµСЃР° РЅРµ РїСЂРµРґСЃС‚Р°РІР»СЏРµС‚, РѕРЅ РёСЃРїРѕР»СЊР·СѓРµС‚СЃСЏ РґР»СЏ РїСЂРѕРІРµСЂРєРё РІРІРѕРґР° С‚РµР»РµС„РѕРЅРЅРѕРіРѕ РЅРѕРјРµСЂР° РїСЂРё СЂРµРіРёСЃС‚СЂР°С†РёРё РїСЂРёР»РѕР¶РµРЅРёСЏ. РџРѕСЃР»РµРґРЅРёР№ РєРѕРјРїРѕРЅРµРЅС‚ РїСЂРѕРІРµСЂСЏРµС‚ В«СЂСѓС‚РѕРІР°РЅРЅРѕСЃС‚СЊВ» РёСЃРїРѕР»СЊР·СѓРµРјРѕРіРѕ СѓСЃС‚СЂРѕР№СЃС‚РІР°: РёС‰РµС‚ РѕРїСЂРµРґРµР»РµРЅРЅС‹Рµ РїСЂРёР»РѕР¶РµРЅРёСЏ, Р±РёРЅР°СЂРЅС‹Р№ С„Р°Р№Р» su РёР»Рё РєРѕРјРїРѕРЅРµРЅС‚С‹ BusyBox.

Р’СЃРµ, РґР°Р»СЊС€Рµ РІСЂРѕРґРµ С‚СЏРЅСѓС‚СЊ СѓР¶Рµ РЅРµРєСѓРґР°, РЅР°РґРѕ СЃРјРѕС‚СЂРµС‚СЊ РєРѕРґ. РЇ РЅРµ Р±СѓРґСѓ СѓС‚РѕРјР»СЏС‚СЊ С‡РёС‚Р°С‚РµР»СЏ СЃРєСЂСѓРїСѓР»РµР·РЅС‹Рј Рё Р·Р°РЅСѓРґРЅС‹Рј РѕРїРёСЃР°РЅРёРµРј Р°Р»РіРѕСЂРёС‚РјР°, С‚РµРј Р±РѕР»РµРµ С‡С‚Рѕ РёР·-Р·Р° РѕР±С„СѓСЃРєР°С†РёРё РєРѕРґР° РїСЂРёС€Р»РѕСЃСЊ Р±С‹ С‡Р°СЃС‚Рѕ РёСЃРїРѕР»СЊР·РѕРІР°С‚СЊ СЃР»РѕРІР° В«РІРµСЂРѕСЏС‚РЅРѕВ», В«РїРѕС…РѕР¶РµВ» Рё В«СЃСѓРґСЏ РїРѕ РІСЃРµРјСѓВ», Рё РїСЂРѕСЃС‚Рѕ СЂР°СЃСЃРєР°Р¶Сѓ СЃРІРѕРёРјРё СЃР»РѕРІР°РјРё.

РџСЂРё Р·Р°РїСѓСЃРєРµ РїСЂРёР»РѕР¶РµРЅРёРµ РґРѕСЃС‚Р°РµС‚ РёР· РЅР°СЃС‚СЂРѕРµРє Р°РґСЂРµСЃ СЃРµСЂРІРµСЂР° РґР»СЏ РѕС‚РїСЂР°РІРєРё РґР°РЅРЅС‹С…, РёРЅС‚РµСЂРІР°Р» РґР»СЏ РѕС‚РїСЂР°РІРєРё РєРѕРѕСЂРґРёРЅР°С‚ Рё РёРЅС‚РµСЂРІР°Р» РґР»СЏ СЃР±РѕСЂР° Рё РѕС‚РїСЂР°РІРєРё С‚РµР»РµРјРµС‚СЂРёРё (РѕС‚РјРµС‚РёРј, С‡С‚Рѕ СЌС‚Рё Р·РЅР°С‡РµРЅРёСЏ РјРѕР¶РЅРѕ РёР·РјРµРЅРёС‚СЊ РїРѕ РєРѕРјР°РЅРґРµ СЃ СЃРµСЂРІРµСЂР°). Р—Р°С‚РµРј РїСЂРѕРІРµСЂСЏРµС‚ РЅР°Р»РёС‡РёРµ РЅРµРѕР±С…РѕРґРёРјС‹С… РґР»СЏ СЂР°Р±РѕС‚С‹ СЂР°Р·СЂРµС€РµРЅРёР№ Рё, РµСЃР»Рё РЅСѓР¶РЅРѕ, Р·Р°РїСЂР°С€РёРІР°РµС‚ РёС…, Р° С‚Р°РєР¶Рµ РІС‹РІРѕРґРёС‚ Р·Р°РїСЂРѕСЃ РЅР° РґРѕР±Р°РІР»РµРЅРёРµ РІ В«Р±РµР»С‹Р№ СЃРїРёСЃРѕРєВ» СЌРЅРµСЂРіРѕСЃР±РµСЂРµР¶РµРЅРёСЏ, С‡С‚РѕР±С‹ РћРЎ РЅРµ РјРµС€Р°Р»Р° СЂР°Р±РѕС‚Р°С‚СЊ РІ С„РѕРЅРѕРІРѕРј СЂРµР¶РёРјРµ.

if(!((activity)this).j()) {
            StringBuilder v1 = k.b.a.a.a.a("package:");
            v1.append(this.getPackageName());
            this.startActivityForResult(new Intent("android.settings.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS", Uri.parse(v1.toString())), 3);
            return;
        }

Также проверяется (с помощью акселерометра), держит ли пользователь устройство в руках.

В приложении есть три основных сервиса:

LocationService — периодически собирает координаты;

MessagingService — отслеживает сообщения с сервера, в сообщениях могут быть новые настройки или запрос на фото пользователя;

PeriodicJobService — собирает и отправляет телеметрию.

Приложение периодически (в моем случае раз в пять минут, но это значение может быть изменено сервером) получает координаты и телеметрию, отправляет их на сервер, а также ждет запроса на фото. Если запрос на фото пришел, то выводится уведомление и подается звуковой сигнал. Кстати, когда пользователь делает фотографию, устройство автоматически ищет лицо в области предпросмотра (см. выше про libface_detector). Пока лицо не будет найдено, фотографию отправить не получится.

В интернете попадалась информация, что у пользователя есть один час с прихода уведомления, чтобы сделать фото. В коде я никаких подтверждений этому не нашел. Если отсчет времени ведется, то это, надо думать, происходит на сервере.

Посмотрим подробнее, какие именно данные приложение отправляет на сервер.

Перейти обратно к новости